十一长假期间需关注的十大病毒

十一长假期间需要关注的十大病毒：

1、“AUTO广告木马1513749”（Win32.Troj.Agent.yb.1513749）

威胁级别：★★

该木马的主要行为是刷广告流量。该毒调用库函数里的数据，解密自己的配置文件，获取病毒作者安排好的广告网址，不断登录，为这些地址刷流量。而这些网站中，有不少是挂马网页，如果用户系统有安全漏洞，就很容易被其它病毒木马趁虚而入。该毒每30秒遍历一次系统，判断是否有U盘等移动存储器，若有，就复制自己到其根目录下，命名为Recycled.exe，并创建对应的AutoRun.inf文件。这样，只要用户将染毒U盘插到别的电脑上，此毒就能实现传染。

2、机器狗病毒

威胁级别：★★

机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为“机器狗”，该病毒变种繁多，多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器，与AV终结者病毒相似，病毒通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给用户电脑带来严重的威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe,winhlp32.exe等）达到隐蔽启动；通过底层技术穿透冰点，影子等还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全；通过修复SSDT（就是恢复安全软件对系统关键API的HOOK），映像挟持，进程操作等方法使得大量的安全软件失去作用；联网下载大量的盗号木马给广大网民的网络虚拟财产造成巨大威胁，部分机器狗变种还会下载ARP恶意攻击程序对所在局域网（或者服务器）进行ARP欺骗影响网络安全。

3、“FTP傀儡34816”（Win32.TrojDownloader.Mnless.34816）

威胁级别：★★

这个病毒能够利用捆绑其它文件的方式进行传播。该毒进入电脑后，将自己的文件setupapi.dll释放到IEXPLORER目录下。接着检查自己的dll文件是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE等浏览器的进程加载，若不是，便退出程序，以载入指定动态链接库的方式加载自己。无论采取哪种加载方式，一旦得以运行。此毒便检查注册表，查看用户是否安装有FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具。如果发现用户有安装以上FTP工具，此毒则调用这些工具去病毒作者指定的远程地址http://66.1*9.2*1.1*8/ftpg/ftp.php下载一份FTP列表，然后根据其中的地址下载更多的其它病毒。

4、“摄影师下载器81071”（Win32.Troj.QQRobber.sd.81071）

威胁级别：★

此毒的主文件名称为VM_STI.exe，会被释放到%WINDOWS%\SYSTEM32\目录中。由于其名称与一款摄像头驱动文件一样，一些安装了该驱动的用户就会被蒙蔽。该文件会被写入注册表启动项，随系统自启动，从http://dd6.t***kl.info 这个由病毒作者指定的地址下载其它木马文件。安装了摄像头驱动的用户如果发现自己系统中同时有两个VM_STI.exe运行，很有可能就是中了此毒。

5、剑侠世界飞贼90112”（Win32.Troj.GameT.xf.90112）

威胁级别：★

俗话说树大招风，网络游戏如果知名度和玩家数量比较可观，无一例外的会吸引来盗号木马。这次金山毒霸反病毒工程师就发现了一个针对《剑侠世界》的新木马。此毒制作较为精细，病毒作者将病毒字符串分割为若干小段，当需要运行时，才临时组装起来。试图以此来干扰反病毒工作者的分析，以及躲避杀毒软件的检查。病毒运行起来的第一件事是遍历当前所有进程，如发现“360Tray.exe”和“360Safe.exe”，就尝试将其结束。接着，该毒通过特征码和窗口定位《剑侠世界》的游戏进程，注入其中，读取玩家的账号密码人物名称等级等数据，然后解密配置文件，得到收信地址http://a***w110.3322.org，将赃物发送过去。

6、“广告男孩249856”（Win32.Adware.Agent.249856）

威胁级别：★

该毒属于一个庞大木马家族的成员，拥有大量变种。根据病毒作者的设置，各变种拥有不同的功能。此样本的功能是弹广告和下载。它的行为比较简单，进入用户电脑后就释放自己的文件spoclsv.exe到%WINDOWS%\SYSTEM32\drivers\目录下，然后修改注册表启动项，实现开机自启动。运行起来后就注入IE浏览器进程，发出指令，弹出病毒作者指定的网页。同时，它会从http://www.w**oy.net/update/这个由病毒作者安排好的远程服务器下载一份木马列表，根据其中的地址下载更多其它木马。病毒的中文名称是缘于其下载地址中包含一个英文的BOY单词。

7、OnlineGames系列盗号木马

威胁级别：★

这是一类盗号木马系列的统称，这类木马的特点就是通过进程注入盗取流行的各大网络游戏（魔兽，梦幻西游等）的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件，但经常伴随着AV终结者、机器狗等病毒出现

8、Downloader系列下载者

威胁级别：★

这类病毒是典型的盗号木马下载者。通过映像挟持，进程操作，窗口监控等方式对抗杀毒软件、会下载安装大量盗号木马到用户电脑。Downloader系列下载者在下载执行完盗号木马后，会自动删除，原程序不会驻留用户计算机。给杀毒软件获取样本分析带来了麻烦。

9、Rootkit系列病毒

威胁级别：★

这类病毒经常伴随着OnlineGames系列病毒出现。这类病毒使用Rootkit技术来隐藏加载OnlineGames系列病毒。还会通过驱动来恢复SSDT Inline HOOK， 使得杀毒软件失去对系统的保护功能。通过rootkit技术盗号木马能够更有效地盗取帐号密码。

10、MSN机器人系列变种

威胁级别：★

这是一个通过MSN传播的病毒，该病毒有很多变种。该病毒的主要特点是通过MSN发送消息+病毒文件给好友。好友接收运行文件后，就会感染病毒。该病毒会连接IRC聊天室，由IRC聊天室接受黑客指令进行远程控制，使用户文件、资料、信息等面临被盗；并且用户主机可能成为“肉鸡”。