互联网 “热门”木马病毒排名
下面显示了在2009年2月期间,中国地区的互联网上木马病毒的活跃情况。表中所列的都是最常遇到的恶意程序。这些恶意程序会在用户上网的同时给用户带来危害。(下表中的数据根据卡巴斯基产品检测情况统计得出)
Name of malware % pp
1. not-a-virus:AdWare.Win32.BHO.fay 7.69 +10
2. HEUR:Trojan.Win32.Generic 4.83 +6
3. Heur.Win32.Trojan.Generic 4.62 +7
4. Worm.Win32.Downloader.aao 3.62 New
5. Exploit.Win32.IMG-WMF.fx 3.42 -2
6. HEUR:Trojan-Downloader.Win32.Generic 3.27 +3
7. Trojan-Spy.Win32.Agent.sc 2.29 New
8. Trojan-GameThief.Win32.Magania.gen 1.98 -7
9. Trojan-Downloader.Win32.Agent.bgns 1.79 New
10. Trojan.Win32.Pakes.lmb 1.68 +9
11. Worm.Win32.Downloader.zd 1.67 +1
12. Worm.Win32.Downloader.aay 1.64 New
13. Trojan-Dropper.Win32.MultiJoiner.13.y 1.59 -7
14. Trojan-Downloader.Win32.Agent.bgnc 1.42 New
15. Trojan-Dropper.Win32.Crypter.i 1.29 New
16. Worm.Win32.Downloader.aat 1.23 New
17. Trojan-Downloader.Win32.Agent.bgav 1.21 New
18. Worm.Win32.Downloader.aaa 1.19 New
19. Trojan-Downloader.Win32.Agent.bfcv 1.16 New
20. Worm.Win32.Downloader.zz 1.1 New
Other 48.69
注:New 表示此种病毒木马上月并不在top20中。
本月,排行榜中针对win32平台下的热门恶意程序发生了较大变化。只需粗略地一瞥,我们就能察觉到超过半数(20个中的11个)的恶意程序都为新入榜成员,未出现在上个月的排行榜中。除此之外,曾经的状元Trojan-GameThief.Win32.Magania.gen 也被not-a-virus:AdWare.Win32.BHO.fay所替代。
从名称前面的not-a-vrus标注,我们可以看出,这种类型的程序并不属于恶意程序,但是可以归类到不受欢迎的程序里。这些程序会在用户不知情的情况下被安装到计算机中,并用于实现各种目的。这其中当然存在有益的程序,比如为浏览器扩展某些功能(比如查看pdf文档和flash视频),添加额外的搜索菜单或显示广告。但是这些BHO程序也可以用于恶意的目的。BHO(Browser Help Object)机制本身是用于扩展Internet Explorer浏览器功能的用途,但恶意程序作者也从中找到了巨大的利用价值。
not-a-virus:AdWare.Win32.BHO.fay 在top20中已经不是新面孔了。在上个月的榜单中,它位列第11位。而在本月,它上升到了首位,并且在百分比上远远超过了其它恶意程序,达到了7 .69 %。
在之前的播报中我们曾不止一次地提到,如今同恶意程序斗争的一个法宝就是启发式分析器。占据top20中第二和第三位的恶意程序都是通过启发式分析器检测到的,这就很好地证明了我们先前的结论。
上月的冠军Trojan-GameThief.Win32.Magania.gen在二月滑落了7位,现处于第8名的位置.虽然并不十分令人感到吃惊,但是Trojan-GameThief.Win32.Magania.gen竟然是同类木马的唯一代表,而在上个月,此类木马多达六种。在二月份,网络游戏盗号木马已经全线让位给了各式各样的下载者程序。本月,这些下载者程序的数量超过了上榜的恶意程序数量的一半。这些下载者程序可以分为两类:Trojan-Downloader.Win32和Worm.Win32.Downloader。从病毒名的相同的部分我们就可以看出,它们都会下载其它的恶意程序,但是在传播方式上这两种下载者程序是有所不同的。蠕虫(Worm)会自己进行传播,而木马要传播的话就需要别人来帮忙了。
现在还很难说Trojan-GameThief是否只是暂时偶然性地输给了下载者程序。能回答这个问题的只能是时间。让我们拭目以待。
互联网恶意软件排名
以下榜单的名次排列是根据卡巴斯基实验室的2009版反病毒产品所收集到的数据得出的。此项排名由恶意程序,广告软件和潜在恶意未知程序组成,这些程序都是用户计算机上最常被检测到的。
下表中的数据来源于卡巴斯基安全网络( KSN )在2009年2月的监测数据
名次 排名变化 名称
1 0 Virus.Win32.Sality.aa
2 14 Net-Worm.Win32.Kido.ih
3 -1 Packed.Win32.Krap.b
4 3 Packed.Win32.Black.a
5 0 Trojan.Win32.Autoit.ci
6 -3 Worm.Win32.AutoRun.dui
7 New Packed.Win32.Krap.g
8 -4 Trojan-Downloader.Win32.VB.eql
9 New Packed.Win32.Klone.bj
10 -2 Virus.Win32.Alman.b
11 -5 Trojan-Downloader.WMA.GetCodec.c
12 0 Worm.Win32.Mabezat.b
13 New Trojan-Downloader.JS.SWFlash.ak
14 -1 Worm.Win32.AutoIt.ar
15 0 Virus.Win32.Sality.z
16 New Trojan-Downloader.JS.SWFlash.aj
17 -3 Email-Worm.Win32.Brontok.q
18 New Packed.Win32.Tdss.c
19 New Worm.Win32.AutoIt.i
20 New Trojan-Downloader.WMA.GetCodec.u
与之前的排名相比,2月份的20大排行凸显出一些重要的变化。首先,网络蠕虫Kido在1月开始爆发后,发展态势依然强劲,因而在排行榜中仍占据了一席之地。针对这种蠕虫的检测路径已于1月中旬添加到了卡巴斯基实验室的反病毒数据库,因此,大部分受感染的文件在2月被检测出来。其次,此次排名中出现了三个有趣的恶意程序“新生”,它们分别是: Packed.Win32.Krap.g 、Packed.Win32.Klone.bj和Packed.Win32.Tdss.c 。经检测,它们分别与以下三种程序有关:
• Magania木马压缩实用程序(packer)的一种变异体,隶属于一个用于窃取在线游戏密码的普通木马家族。
• AutoIt脚本的特定混淆类型。显然,只有通过脚本语言自身的约束条件才能限制原始脚本的功能。
• 通过新的恶意打包程序-TDSS加密的一类程序。
在榜单中排名最后的三个恶意程序很有意思,可以说它们是原始的、任意类型的未加密恶意程序,还可以是任何一种包括但不限于木马,蠕虫和rootkit的程序。
在1月上升了10个名次的Trojan-Downloader.WMA.GetCodec.r在2月被一个相似的多媒体下载器GetCodec.u所取代 ,而上个月才刚出现的病毒Exploit.JS.Agent.aak ,也被两个利用各种Flash 播放器漏洞的脚本下载器SWFlash.aj 和SWFlash.ak 取代。
恶意木马程序----30%
病毒程序----45%
恶意程序----25%
在第一个前20名的排行榜中,所有的恶意程序,广告软件和潜在的未知恶意程序都可以根据卡巴斯基发现的主要威胁类别来进行归类。自1月以来,这些类别之间的平衡关系几乎没有发生转变。据统计,在过去几个月中,自我复制型程序的数量仍然很高。
总的来说,在2月份,卡巴斯基实验室共在用户计算机中检测到45396种不同的恶意程序、广告软件和潜在的未知恶意程序。与上一个月的数据相比,没有太大的不同。
与上表不同,下表中的数据体现的是:用户计算机中最常感染是哪些恶意程序。在这次的排行中,感染文件的恶意程序占据了大部分的名次。
名次 排名变化 名称
1 0 Virus.Win32.Sality.aa
2 0 Worm.Win32.Mabezat.b
3 2 Net-Worm.Win32.Nimda
4 New Virus.Win32.Virut.ce
5 -1 Virus.Win32.Xorer.du
6 0 Virus.Win32.Sality.z
7 -2 Virus.Win32.Alman.b
8 -1 Virus.Win32.Parite.b
9 New Trojan-Clicker.HTML.IFrame.acy
10 -1 Trojan-Downloader.HTML.Agent.ml
11 -1 Virus.Win32.Virut.n
12 -4 Virus.Win32.Virut.q
13 3 Virus.Win32.Parite.a
14 -3 Email-Worm.Win32.Runouce.b
15 -2 P2P-Worm.Win32.Bacteraloh.h
16 -2 Virus.Win32.Hidrag.a
17 Return Worm.Win32.Fujack.k
18 Return Virus.Win32.Neshta.a
19 -4 Virus.Win32.Small.l
20 -2 P2P-Worm.Win32.Deecee.a
在第二个20大排行榜的榜单包括一个重要的新成员---- Virus.Win32.Virut.ce,一个名为Virut的复杂多态性病毒的新变种。与其它恶意程序不同的是,这类变种在感染用户计算机中的HTML文件时,会通过一种恶意的IFRAME模块来进行。像这样被感染的页面会被卡巴斯基的反病毒产品检测为Trojan-Clicker.HTML.IFrame.acy。2月,受这种方法感染的文件数量非常大。而Virus.Win32.Virut.ce和Trojan-Clicker.HTML.IFrame.acy之间的共生关系致使这两个恶意程序的排名分别为第四位和第九位。
还应当指出的是,尽管Sality家族仍然在排名中十分突出,但是这种危险的恶意程序新变种还没有被检测出来。当然,这与上面提到的Virut家族的情况是截然不同的。