毒霸最新安全报告:5月十大病毒排行榜

    国内知名杀毒软件金山毒霸刚刚发布了其五月份的安全报告，据报告称，金山毒霸云安全系统在五月份所监测到的挂马网址数量较四月份时大幅减少了，这对广大网民来说也许是个不错的消息哦！

    同时金山毒霸列出了五月的十大病毒排行榜，此排行榜是根据金山毒霸云安全系统的监测统计，经过特殊计算后得出的参考数据，反映的是感染总量最高的前十个病毒，一起来看看。

    以下是毒霸对前十大病毒的详细描述：

    1. Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）

    展开描述： 模仿文件夹图标，欺骗用户点击

    卡巴命名: P2P-Worm.Win32.Agent.ta、Trojan-Dropper.Win32.Flystud.ko
    瑞星命名: Trojan.Win32.ECode.ee\\n、orm.Win32.Agent.aaq\\n
    NOD32命名: virus.Win32.Small.L、Worm.Win32.AutoRun.FlyStudio.GS
    麦咖啡命名: W32.Madangel.b virus、W32.Fujacks.aw virus

    非常值得注意的情况，四月份感染量最大的病毒Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者），在五月依然保持着它的排名。

    此毒是一个U盘病毒，它将自己的图标伪装成系统文件夹的样子，用户在U盘中看到一个陌生文件夹时，多半都会去点击。如此一来，即使用户禁止了U盘自动播放，该毒依然能够实现运行。运行后，此毒会下载一些别的恶意程序，执行多种破坏行为。

    此外，有一些脚本挂马也会帮助该毒传播，一旦它们利用系统安全漏洞攻入电脑，就会立即下载包括“文件夹模仿者”在内的其它恶意程序。根据变种的不同，此毒会呈现多种症状，其中比较明显的一种，是用户系统中的文件夹全部变为病毒的EXE文件，用户必须点击病毒文件才可进入文件夹。这使得病毒得以多次运行，如果该变种所携带的执行模块是广告插件，那么就会尽可能多的弹出广告网页。

    阻止此毒进入系统的非常好的办法，是打齐系统补丁并安装金山安全实验室的“网盾”，该工具目前由数十万人参与测试，稳定性不断增强，可100%拦截包括0day漏洞在内的所有漏洞利用代码，粉碎黑客的挂马攻击意图。

    2. Win32.troj.fakefoldert.yo.1406378（文件夹模仿者变种）

    展开描述： 模仿文件夹图标，欺骗用户点击

    卡巴命名: Trojan-Dropper.Win32.Flystud.ko、Virus.BAT.Agent.af
    瑞星命名:Trojan.Win32.ECode.ee\\n、Trojan.Win32.ECode.ee\\n
    NOD32命名:Trojan.Win32.FlyStudio.NJS、Worm.Win32.AutoRun.FlyStudio.FQ
    麦咖啡命名: W32.Autorun.worm.dq virus、W32.Autorun.worm.ev virus

    此毒为Win32.Troj.FakeFolderT.yl.1407388（文件夹模仿者）的一款变种，其感染量在五月出现大幅增长，最终与前者共同位居感染量排行榜前列，具体的破坏行为也完全一致。此变种挺进感染量TOP10，标志着利用U盘传播的文件夹病毒已经取代传统盗号木马，成为广大电脑用户近期将要面临的最大威胁。

    3. Win32.troj.killav.121352（宝马下载器变种）

    展开描述： 变种数量大，频繁免杀，下载恶意程序

    卡巴命名: Trojan.Win32.AntiAV.bck、Trojan.Win32.AntiAV.bcy
    瑞星命名: Trojan.DL.Win32.Mnless.daq\\n
    NOD32命名: Trojan.Win32.AntiAV.NAA

    如果要说有什么病毒是“文件夹模仿者”最强的竞争对手，肯定非“宝马”莫属。该毒具备有对抗杀毒软件的能力，会采用多种方式尝试中止杀软进程或禁止杀软的服务，甚至还会释放驱动来用于穿透系统还原保护和某些杀软的“主动防御”。随后下载各种恶意程序到电脑上执行，比如盗号木马或广告插件。

    早在4月份时，依靠网页挂马为主要传播手段的宝马下载器在感染量TOP10中就占据了两项排名，分别是第6名和第9名。而在5月份，宝马下载器依靠另外两款变种，将自己的排名上升至第3名和第7名。

    这表明，尽管面临刑法新条例的严厉打击，病毒团伙还是不愿意轻易放弃传统的木马传播手段。一些比较小的病毒团伙可能会无法生存下去，但像“宝马”这样成熟的大鳄，绝不会轻易退出舞台。

    毒霸可拦截该毒和它所下载的盗号木马，如果发现自己电脑上频繁出现此毒，并非该毒“杀不掉”，而是表明有别的未知下载器不断的将其“复活”，毒霸安全专家已经在多款其它的下载器中，发现了“宝马”的身影，这些充分说明在挂马传播日益难做的情况下，病毒团伙之间的“互助”日趋紧密。而对于这种情况，只需下载安装金山安全实验室的“系统急救箱”，就可解决问题。

    4. Win32.troj.sysjunk2.ak.196608 (干扰弹AK)

    展开描述：干扰反病毒工作者，阻止查杀

    瑞星命名:RootKit.Win32.Undef.bzl\\n

    在上四月的安全月报中已经上榜的“干扰弹AK”，5月份依然在用户频繁露脸。

    “干扰弹AK”（win32.troj.sysjunk2.ak.196608），是个“加花指令”。所谓的“加花”，是指这种病毒文件本身不会对系统有什么危害，但它包含的大量的垃圾数据，可用来来干扰反病毒人员的分析工作。如果杀毒软件厂商的反病毒工程师技术不强，就有可能无法处理此毒。

    5. Win32.troj.cfgt.ex.38507（CFG网游盗号器变种）

    展开描述：依靠网页挂马传播，盗窃网游帐号

    卡巴命名:Trojan-GameThief.Win32.Magania.Bdax、Trojan-PSW.Win32.LdPinch.afvu
    瑞星命名:Trojan.PSW.Win32.GameOL.zql\\n、Trojan.PSW.Win32.XYOnline.alv\\n
    NOD32命名：Trojan.Win32.PSW.OnLineGames.NRD

    “CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）主要依靠网页挂马传播，它能盗取多款流行网游的账号和木马。如果用户系统中存在安全漏洞，就很容易受到脚本下载器的攻击。然后脚本下载器就会直接下载此毒，或者先下载一个类似宝马下载器这样的普通下载器，再下载此盗号木马。

    打齐系统补丁是防御此毒的最好办法，只要堵住系统中的安全漏洞，感染“CFG网游盗号器变种”（win32.troj.cfgt.ex.38507）的几率就会大大减小。如果毒霸频繁提示发现此毒，表明系统中很可能存在未知的下载器，造成每次删除后又再次下载。这种情况不用慌，只需安装并运行金山安全实验室免费提供的“系统急救箱”，对未知下载器进行灭活，即可解决问题。

    6. Win32.troj.fuckcryptt.d.114176（流氓外壳D）

    展开描述：加密病毒文件，对抗安全软件

    卡巴命名:Worm.Win32.FlyStudio.cd、not-a-virus.AdWare.Win32.FlyStudio.h
    瑞星命名:AdWare.Win32.Mnless.aut\\n、Worm.Win32.Autorun.fje\\n

    Win32.troj.fuckcryptt.d.114176（流氓外壳D）是一个壳文件，其本身没有什么破坏能力，但是依靠它所包含的病毒技术，病毒作者能对别的病毒进行加密处理，以阻止安全软件对它们进行查杀。

    壳文件并不是第一次受到我们的关注，很早以前毒霸曾发出过预警的“会飞的乌龟壳”，也是一个很典型的壳。

    “壳”本身是一种中立性质的文件加密技术，最早时是用来保护软件的版权，但近年来，病毒作者开发出专门的“壳”，越来越多的用在保护病毒文件、对抗安全软件查杀上。

    7. Win32.trojdownloader.bmwat.ex.117184 (宝马下载器变种)

    展开描述：变种数量大，频繁免杀，下载恶意程序

    卡巴命名：Trojan-Dropper.Win32.Mudrop.aht、Trojan-Dropper.Win32.Mudrop.afr
    瑞星命名：Trojan.Win32.KillAV.bem\\n、Trojan.Win32.KillAV.bfd\\n
    NOD32命名：Trojan.Win32.Genetik
    麦咖啡命名：StartPage-HR trojan

    行为与排名第3的Win32.troj.killav.121352完全一致，只是在免杀手段上略有不同。由于病毒团伙重点推广的原因，它与Win32.troj.killav.121352的感染量在若干宝马变种中，显得“鹤立鸡群”。

    8. Win32.vbt.hl.84701 (无公害感染源)

    展开描述：感染系统文件，帮助病毒传播

    卡巴命名：Virus.Win32.VB.bu
    瑞星命名：Trojan.PSW.SBoy.a\\n
    NOD32命名：virus.Win32.Sality.NAC
    麦咖啡命名：PWS-LegMir trojan

    “无公害感染源”（win32.vbt.hl.84701）连续三个月荣登安全月报的排行榜，在刚过去的5月份，它的感染成绩接近220万台次。

    该毒具有很强的感染能力，可感染所有的exe文件，但对系统本身不具备直接的破坏能力。不过这并不意味着它就对系统安全不具备威胁。

    该毒虽然不能直接破坏系统，可是它具有能与其它模块相连接的接口，这使得它能够帮助那些具有恶意行为的病毒模块进行传播。至于它们“合体”后会有哪些危害，则要看木马执行模块的功能如何安排，不同的变种可能具有不同的功能。

    9. Win32.troj.addownload.ef.26184 （非法插件安装器）

    展开描述：擅自安装插件，传播流氓软件

    瑞星命名:Trojan.DL.Win32.Mnless.dhm\\n

    当盗号木马受到越来越严的打击，以弹广告和刷流量为主要目的的流氓软件，就又开始成为病毒团伙“亲睐”的产品。曾在四月安全月报中介绍过的“非法插件安装器”(win32.troj.addownload.ef.26184)，在进入五月份后，感染量增长的速度有所放缓，可是总感染量还是超过了两百万台次。

    此毒是一个专门帮助流氓软件进入用户电脑安装的下载器。它借助一些脚本木马的帮助，或者捆绑于其它程序，入侵用户电脑。

    一旦入侵成功，就会下载一个文件名为kxsosetup.exe的浏览器插件，并将其强行安装到用户电脑中，随后就不时弹出广告窗口，十分烦人。如发现电脑中混入这个kxsosetup.exe插件，使用金山清理专家的“恶意软件查杀”功能即可将其清除。如果遭遇特别顽固的变种，那么也可以借助清理专家“安全百宝箱”中的“文件粉碎机”功能将其粉碎。

    10. Win32.trojdownloader.agent.175694（伪装下载器捆绑包）

    展开描述：捆绑其它程序混入电脑，下载木马

    卡巴命名:Trojan-Downloader.Win32.Small.juk、Trojan-  Downloader.Win32.Agent.ajw
    瑞星命名:Trojan.DL.Win32.Undef.ehg\\n
    NOD32命名:Trojan.Win32.TrojanDropper.Agent.NNO
    麦咖啡命名:BackDoor-CEO trojan

    5月份，出于规避刑法新条例中关于网页挂马的严厉惩罚，病毒团伙大幅减少了挂马攻击的投入。不过他们可不会轻易放弃“市场”，于是，就像我们在上一期月报中所预测过的那样，一些传统的病毒传播方式重新“升温”。捆绑程序就是这样一种传播方式，其代表就是Win32.trojdownloader.agent.175694（伪装下载器捆绑包）。

    此毒为一款木马下载器，主要是下载广告程序，弹出广告窗口。毒霸云安全系统监测到，它捆绑于多款热门的视频播放软件中进行传播，如果用户从一些小规模的下载站点下载这些视频播放软件，就很容易“引狼入室”。■

 <