在 江民公司2008年度截獲的所有病毒中，網(wǎng)游盜號類病毒最為猖獗,"網(wǎng)游竊賊""網(wǎng)游大盜"病毒分別占據(jù)十大病毒第一、二名，而在病毒感染計算機臺數(shù)前 20名病毒中,網(wǎng)絡(luò)游戲盜號木馬占了10個席位,上千萬臺電腦被此類病毒感染。 "網(wǎng)游竊賊"病毒以壓倒其它病毒的絕對優(yōu)勢一舉成為2008年度"毒王"，而去年的"毒王""U盤寄生蟲"則下降到第四位。

      2008年度十大計算機病毒檔案：
      （1） "網(wǎng)游竊賊"及其變種
      病毒名稱：Trojan/PSW.OnLineGames
      中 文 名：網(wǎng)游竊賊
      病毒類型：木馬
      危險級別：★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：Trojan/PSW.OnLineGames"網(wǎng)游竊賊"是一個盜取網(wǎng)絡(luò)游戲帳號的木馬程序，會在被感染計算機系統(tǒng)的后臺秘密監(jiān)視用戶運行的所有應(yīng) 用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息資 料，并在后臺將盜取的所有玩家信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點上。致使網(wǎng)絡(luò)游戲玩家的游戲帳號、裝備物品、金錢等丟失，會給游戲玩家?guī)ゲ煌潭?的損失。 "網(wǎng)游竊賊"會通過在被感染計算機系統(tǒng)注冊表中添加啟動項的方式，來實現(xiàn)木馬開機自啟動。

      （2） "網(wǎng)游大盜"及其變種
      病毒名稱：Trojan/PSW.GamePass
      中 文 名：網(wǎng)游大盜
      病毒類型：木馬
      危險級別：★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：Trojan/PSW.GamePass"網(wǎng)游大盜"是一個盜取網(wǎng)絡(luò)游戲帳號的木馬程序，會在被感染計算機系統(tǒng)的后臺秘密監(jiān)視用戶運行的所有應(yīng)用程序 窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲帳號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息資料，并在 后臺將盜取的所有玩家信息資料發(fā)送到駭客指定的遠(yuǎn)程服務(wù)器站點上。致使網(wǎng)絡(luò)游戲玩家的游戲帳號、裝備物品、金錢等丟失，會給游戲玩家?guī)ゲ煌潭鹊膿p失。 "網(wǎng)游大盜"會通過在被感染計算機系統(tǒng)注冊表中添加啟動項的方式，來實現(xiàn)木馬開機自啟動。

      （3） "代理木馬"及其變種
      病毒名稱：Trojan/Agent
      中 文 名：代理木馬
      病毒類型：木馬
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
描 述：Trojan/Agent"代理木馬"是木馬家族的最新成員之一，采用高級語言編寫，并經(jīng)過加殼保護處理。"代理木馬"運行后，會自我復(fù)制到被感染計 算機系統(tǒng)中的指定目錄下，修改注冊表，實現(xiàn)開機自啟。在被感染計算機的后臺秘密竊取用戶所使用系統(tǒng)的配置信息，然后從駭客指定的遠(yuǎn)程服務(wù)器站點下載其它惡 意程序并安裝調(diào)用運行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木馬、遠(yuǎn)程控制后門和惡意廣告程序等等，會給用戶帶去不同程度的損失。

      （4） "U盤寄生蟲"及其變種
      病毒名稱：Checker/Autorun
      中 文 名：U盤寄生蟲
      病毒類型：蠕蟲
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：Checker/Autorun"U盤寄生蟲"是一個利用U盤等移動存儲設(shè)備進(jìn)行自我傳播的蠕蟲病毒。"U盤寄生蟲" 運行后，會自我復(fù)制到被感染計算機系統(tǒng)的指定目錄下，并重新命名保存。"U盤寄生蟲"會在被感染計算機系統(tǒng)中的所有磁盤根目錄下創(chuàng) 建"autorun.inf"文件和蠕蟲病毒主程序體，來實現(xiàn)用戶雙擊盤符而啟動運行"U盤寄生蟲"蠕蟲病毒主程序體的目的。"U盤寄生蟲"還具有利用U 盤、移動硬盤等移動存儲設(shè)備進(jìn)行自我傳播的功能。"U盤寄生蟲"運行時，可能會在被感染計算機系統(tǒng)中定時彈出惡意廣告網(wǎng)頁，或是下載其它惡意程序到被感染 計算機系統(tǒng)中并調(diào)用安裝運行，會被用戶帶去不同程度的損失。"U盤寄生蟲" 會通過在被感染計算機系統(tǒng)注冊表中添加啟動項的方式，來實現(xiàn)蠕蟲開機自啟動。

      （5） "灰鴿子"及其變種
      病毒名稱：Backdoor/Huigezi
      中 文 名：灰鴿子
      病毒類型：后門
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：Backdoor/Huigezi "灰鴿子"是后門家族的最新成員之一，采用Delphi語言編寫，并經(jīng)過加殼保護處理。"灰鴿子"運行后，會自我復(fù)制到被感染計算機系統(tǒng)的指定目錄下，并 重新命名保存（文件屬性設(shè)置為：只讀、隱藏、存檔）。"灰鴿子"是一個反向連接遠(yuǎn)程控制后門程序，運行后會與駭客指定遠(yuǎn)程服務(wù)器地址進(jìn)行TCP/IP網(wǎng)絡(luò) 通訊。中毒后的計算機會變成網(wǎng)絡(luò)僵尸，駭客可以遠(yuǎn)程任意控制被感染的計算機，還可以竊取用戶計算機里所有的機密信息資料等，會給用戶帶去不同程度的損 失。"灰鴿子"會把自身注冊為系統(tǒng)服務(wù)，以服務(wù)的方式來實現(xiàn)開機自啟動運行。"灰鴿子"主安裝程序執(zhí)行完畢后，會自我刪除。

      （6） "QQ大盜"及其變種
      病毒名稱：Trojan/PSW.QQPass
      中 文 名：QQ大盜
      病毒類型：木馬
      危險級別：★
      影響平臺：Win9X/2000/XP/NT/Me
      描 述：Trojan/PSW.QQPass"QQ大盜"是木馬家族的最新成員之一，采用高級語言編寫， 并經(jīng)過加殼保護處理。"QQ大盜"運行時，會在被感染計算機的后臺搜索用戶系統(tǒng)中有關(guān)QQ注冊表項和程序文件的信息，然后強行刪除用戶計算機中的QQ醫(yī)生 程序"QQDoctorMain.exe"、"QQDoctor.exe"和"TSVulChk.dat"文件，從而來保護自身不被查殺。"QQ大盜"運 行時，會在后臺盜取計算機用戶的QQ帳號、QQ密碼、會員信息、ip地址、ip所屬區(qū)域等信息資料，并且會在被感染計算機后臺將竊取到的這些信息資料發(fā)送 到駭客指定的遠(yuǎn)程服務(wù)器站點上或郵箱里，會給被感染計算機用戶帶去不同程度的損失。"QQ大盜"通過在注冊表啟動項中添加鍵的方式，來實現(xiàn)開機木馬自啟 動。

      （7） "Flash蛀蟲"及其變種
      病毒名稱：Exploit.CVE-2007-0071
      中 文 名："Flash蛀蟲"變種
      病毒類型：腳本病毒
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：Exploit.CVE-2007-0071"Flash蛀蟲"是腳本病毒家族的最新成員之一，采用Flash腳本語言和匯編語言編寫而成，并且代碼 經(jīng)過加密處理，利用"Adobe Flash Player"漏洞傳播其它病毒。"Flash蛀蟲"一般內(nèi)嵌在正常網(wǎng)頁中，如果用戶計算機沒有及時升級安裝"Adobe Flash Player"提供的相應(yīng)的漏洞補丁，那么當(dāng)用戶使用瀏覽器訪問帶有"Flash蛀蟲"的惡意網(wǎng)頁時，就會在當(dāng)前用戶計算機的后臺連接駭客指定站點，下載 其它惡意程序并在被感染計算機上自動運行。所下載的惡意程序一般多為木馬下載器，然后這個木馬下載器還會下載更多的惡意程序安裝到被感染計算機的系統(tǒng)中， 會給用戶帶去不同程度的損失。

      （8） "初始頁"及其變種
      病毒名稱：Trojan/StartPage
      中 文 名："初始頁"及其變種
      病毒類型：木馬
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：以Trojan/StartPage.aza為例，Trojan/StartPage.aza"初始頁"變種aza是"初始頁"木馬家族中的最新成員 之一，采用"Microsoft Visual C++ 6.0"編寫，并且經(jīng)過加殼保護處理。"初始頁"變種aza運行后，會在被感染計算機系統(tǒng)的"%SystemRoot%system32" 和"%SystemRoot%system32drivers"目錄下分別釋放惡意DLL功能組件文件"*.dll"（文件名隨機生成，文件大小 為：45,056 字節(jié)）、惡意驅(qū)動文件"*.sys"（文件名隨機生成，文件大小為：28,608 字節(jié)）。在被感染計算機系統(tǒng)的后臺定時訪問指定的惡意廣告站點
"http://www.outhang.cn/api.php?id=%d& amp;mac=%s&type=%d&setupdate=%d%02d%02d&homepage=%s"，提高這些惡意網(wǎng) 站的訪問量（網(wǎng)絡(luò)排名），不僅給駭客帶來經(jīng)濟利益，而且還會嚴(yán)重影響和干擾用戶的正常操作。另外，"植木馬器"變種ps還會占用大量系統(tǒng)資源，極大地降低 了系統(tǒng)的運行速度。在被感染計算機的后臺秘密竊取用戶當(dāng)前所使用的系統(tǒng)的配置信息，然后從駭客指定的遠(yuǎn)程服務(wù)器站點
"http://www.outhang.cn /update.php?id=%d&updateversion=%d"下載惡意程序并調(diào)用運行。其中，所下載的惡意程序可能為網(wǎng)絡(luò)游戲盜號木 馬、遠(yuǎn)程控制后門或惡意廣告程序（流氓軟件）等，會給用戶帶來不同程度的損失。"初始頁"變種aza釋放出來的惡意驅(qū)動程序每次啟動后都會強行設(shè)置系統(tǒng) IE瀏覽器的默認(rèn)啟始頁為"http://www.3929.cn/?tn=102731"("tn="后面的編號不唯一)。因為該病毒為驅(qū)動級病毒，所 以用戶計算機一旦感染該病毒后就極難清除干凈。"初始頁"變種aza會通過在被感染計算機中注冊系統(tǒng)服務(wù)的方式，來實現(xiàn)木馬開機自啟動。

      （9） "機器狗"及其變種
      病毒名稱：Trojan/DogArp
      中 文 名：機器狗
      病毒類型：木馬
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：以Trojan/DogArp. h為例，Trojan/DogArp.h"機器狗"變種h是"機器狗"木馬家族的最新成員之一，采用高級語言編寫，并經(jīng)過加殼保護處理。"機器狗"變種h 運行后，在指定目錄下釋放惡意驅(qū)動程序并加載運行。通過惡意驅(qū)動程序直接掛接磁盤IO端口進(jìn)行讀寫真實磁盤物理地址中的數(shù)據(jù)和進(jìn)行監(jiān)控關(guān)機行為等操作，從 而達(dá)到穿透還原軟件的目的。覆蓋"explorer.exe"、"userinit.exe"或"regedit.exe"等系統(tǒng)文件，實現(xiàn)"機器狗"變 種h開機自啟動。惡意驅(qū)動程序還能還原系統(tǒng)"SSDT"，致使某些安全軟件的防御和監(jiān)控功能失效。惡意破壞注冊表，致使注冊表編輯器無法運行。遍歷當(dāng)前計 算機系統(tǒng)中的進(jìn)程列表，一旦發(fā)現(xiàn)與安全相關(guān)的進(jìn)程，強行將其關(guān)閉。修改注冊表，利用進(jìn)程映像劫持功能禁止近百種安全軟件及調(diào)試工具運行。在被感染計算機系 統(tǒng)的后臺連接駭客指定站點獲取惡意程序列表，下載列表中的所有惡意程序并在被感染計算機上自動調(diào)用運行。其中，所下載的惡意程序可能是網(wǎng)游木馬、廣告程序 （流氓軟件）、后門等，給被感染計算機用戶帶去不同程度的損失。

      （10） "RPCSS毒手"及其變種
      病毒名稱：Win32/Infectrpcss
      中 文 名："RPCSS毒手"及其變種
      病毒類型：木馬
      危險級別：★★
      影響平臺：Win 9X/ME/NT/2000/XP/2003
      描 述：以Win32/Infectrpcss.a為例，Win32/Infectrpcss.a"RPCSS毒手"變種a是"RPCSS毒手"木馬家族中的 最新成員之一，采用高級語言編寫，并且經(jīng)過加殼保護處理。該病毒是由其它惡意程序釋放出來的DLL功能組件文件，一般會被插入 到"explorer.exe"、"csrss.exe"、"svchost.exe"等系統(tǒng)進(jìn)程，以及幾乎所有用戶級權(quán)限的進(jìn)程中加載運行，并在被感染 計算機系統(tǒng)的后臺執(zhí)行惡意操作，隱藏自我，防止被用戶發(fā)現(xiàn)、被安全軟件查殺。"RPCSS毒手"變種a運行后，會自我復(fù)制到被感染計算機系統(tǒng) 的"%SystemRoot%system32"目錄下，重新命名為"csrss.dll"，釋放病毒組件文件"sh01008.dll"（文件大 小：21,504 字節(jié)）到"%SystemRoot%system32"目錄下。"RPCSS毒手"變種a是一個專門盜取"完美世界Online"、"誅仙 Online"等網(wǎng)絡(luò)游戲會員賬號的木馬程序，會在被感染計算機的后臺秘密監(jiān)視用戶系統(tǒng)中所運行著的所有應(yīng)用程序窗口標(biāo)題，然后利用鍵盤鉤子、內(nèi)存截取或 封包截取等技術(shù)盜取網(wǎng)絡(luò)游戲玩家的游戲賬號、游戲密碼、所在區(qū)服、角色等級、金錢數(shù)量、倉庫密碼等信息，并在后臺將竊取到的玩家機密信息發(fā)送到駭客指定的 遠(yuǎn)程服務(wù)器站點上（地址加密存放），致使網(wǎng)絡(luò)游戲玩家的游戲賬號、裝備、物品、金錢等丟失，給游戲玩家?guī)聿煌潭鹊膿p失。同時，"RPCSS毒手"變種 a還具有竊取玩家游戲賬號密碼保護的功能。因此，當(dāng)游戲玩家發(fā)現(xiàn)自己的游戲賬號被盜時，請千萬不要在當(dāng)前被感染的計算機上登陸該網(wǎng)絡(luò)游戲的官方網(wǎng)站去找回 游戲密碼，否則會連同您的密碼保護資料一同被駭客盜取，給您帶來更大程度的損失。利用域名映像劫持功能，在被感染計算機的后臺強行篡改系統(tǒng)中的Hosts 文件，屏蔽某些網(wǎng)絡(luò)游戲站點，阻止用戶對這些網(wǎng)絡(luò)游戲網(wǎng)站的訪問，從而達(dá)到用戶丟失賬號后無法馬上取回密碼的目的。"RPCSS毒手"變種a利用進(jìn)程守護 功能來實現(xiàn)自我保護。該病毒會通過替換系統(tǒng)"rpcss.dll"文件來實現(xiàn)開機自啟動。如果安全軟件直接刪除掉帶毒文件"rpcss.dll"的話，會 導(dǎo)致被感染計算機無法連接網(wǎng)絡(luò)、系統(tǒng)復(fù)制(粘貼)功能失效、桌面程序"explorer.exe"啟動緩慢等后果，嚴(yán)重影響用戶對計算機系統(tǒng)的正常使用。

yajing