360安全中心公布的十大木马“瘟疫”

360安全中心公布2009年十大“马瘟”榜单

　　过去的2009年，甲流蔓延制造了全球性恐慌，而在网络世界中，在金钱和罪恶利益的驱动下，木马“瘟疫”同样无处不在。360安全中心今日发布的年度木马统计数据显示，和2008年相比，木马数量更多，变种和传播更快，传播方式更是无所不用其极，通过网页挂马、文件捆绑、数字签名、感染U盘、局域网ARP攻击等等，每一位网民都随时面临着来自互联网各个角落的威胁。

　　360安全中心年度木马统计数据显示，2009年国内新增木马45259702种，总量相比2008年暴涨了3倍，平均每天新增木马近13万个。在查杀量方面，2009年与前一年相比，木马整体查杀量虽然也呈较大涨幅，但是单个木马的查杀量大幅降低。其中，查杀量高举榜首的“NRD系列网游窃贼”木马被360安全卫士查杀了1.53亿次！在木马的传播渠道上，木马下载器已经成为木马主要的流通途径，它们一方面破坏安全软件，另一方面将盗号木马、广告程序等恶意软件批量下载到受害用户电脑中。这些木马下载器彼此抄袭模仿，不断集成各种传播手法和对抗安全软件的技术，将整个地下木马产业规模化、集团化、精细化的运作手段暴露无遗。

　　根据木马的危害程度以及360木马查杀数据，360安全中心按照木马种族分类公布了2009年中国十大木马，木马查杀量以360安全卫士清除的恶意文件数量为准，完整榜单如下：

　　一、NRD系列网游窃贼

　　类型：盗号木马
　　危害：通过各种木马下载器进入用户电脑，利用键盘钩子等技术盗取地下城与勇士、魔兽世界、传奇世界等多款热门网游的账号和密码信息，还能够对受害用户的电脑屏幕截图、窃取用户存储在电脑上的图片文档和文本文档，以此破解游戏密保卡，并在后台将这些敏感信息发送到指定的服务器或邮箱中。
　

　　二、“犇牛”下载者

　　类型：木马下载器
　　危害：牛年新春佳节爆发的“犇牛”堪称全年危害最大的恶意软件，它在全局劫持dll文件、感染多种类型压缩文件的基础上，综合了“熊猫烧香”在网页文件插入“网马”、局域网ARP攻击等传播手段，此外还有“磁碟机”式自动更新、“AV终结者”式强制关闭面板控件、“机器狗”式穿透还原卡的驱动技术、U盘木马的伪装和传播手段，并下载数十款盗号木马和广告程序进入受害用户电脑，堪称牛年破坏力最强、最邪恶的木马。
　　

　　三、IE首页劫匪

　　类型：广告木马
　　危害：具有流氓性质的IE首页劫匪在2009年格外活跃，这类广告木马的数量、感染用户规模甚至已经迫近网游盗号木马，它们的行为也具备高度的一致性，就是强制修改ie浏览器的首页为指定的网站，并在电脑桌面上生成恶意的浏览器快捷方式。IE首页劫匪的传播方式也五花八门，有的通过木马下载器侵入网民电脑，有的和不良网站提供的软件、视频等资源捆绑在一起，甚至还和大型游戏的安装文件捆绑，通过BT下载进行传播。
　　

　　四、文件夹模仿者

　　类型：U盘木马
　　危害：这是一类通过U盘等移动存储介质传播的木马程序，通常是由木马下载器创建的用于传播木马的功能组件，在打印店等频繁使用U盘的场所特别常见，受感染的学生用户群体也格外多。文件夹模仿者会将自己伪装成U盘中的文件夹，并把正常的文件夹设置为“隐藏”，从而欺骗用户点击，这样的话，即使用户禁止了U盘自动播放，文件夹模仿者仍然能运行起来，并且把它的母体木马下载器感染到电脑的其他磁盘中。
　　

　　五、魔兽密保克星

　　类型：盗号木马
　　危害：这类盗号木马将自己伪装为游戏的运行程序，针对热门网游《魔兽世界》，魔兽密保克星会把真正的wow.exe改名后设置为隐藏文件，木马却堂而皇之的以wow.exe的名称摆在玩家面前。如果玩家不加注意运行了木马，即使账号绑定了密码保护卡，游戏角色仍然会被盗取。
　

　　六、Gh0st肉鸡程序

　　类型：远程控制木马
　　危害：在2009年，Gh0st取代灰鸽子成为“肉鸡”控制最主流的黑客工具。由于该木马已经开源，各种修改版和变种更是层出不穷。和灰鸽子类似，Gh0st同样能监视受害用户的电脑屏幕、记录键盘操作、随意查看和盗取中招用户的资料,甚至自动开启用户电脑上的摄像头进行偷拍。
　　

　　七、“母马”下载者

　　类型：木马下载器
　　危害：2009年1月出现的“母马”下载者采取“机器狗”式的穿透还原技术，感染系统文件实现自启动，可以穿透冰点、影子等系统还原软件，并具备更强的自我更新和变异能力：即便运行同一个“母马”样本，它所感染的系统文件都会出现不同的变化，感染方式和特征也随之变化。更特别的是，“母马”善于自动繁殖数千个子木马，将主进程文件藏身在其中，以此逃避安全软件的追杀，进而下载大量盗号木马及风险程序。
　　

　　八、QQ消息木马插件

　　类型：诈骗程序
　　危害：这类诈骗程序高发于2009年前半年，通常借挂马、木马下载器等方式侵入网民电脑。它会把桌面右下角真正的QQ图标隐藏起来，再将自己伪造为不断闪烁提示的QQ消息，当受害用户点开消息后便弹窗推广中奖消息类的钓鱼网站，从而以保证金、手续费等名义诈骗受害用户钱财。
　　

　　九、“山寨熊猫”下载者

　　类型：木马下载器
　　危害：“山寨熊猫”从行为特征上最接近于当年肆虐一时的“熊猫烧香”，它会全盘感染exe类型可执行文件，对受害用户的电脑系统杀伤力极强，一旦运行起来就会占用大量CPU资源，甚至有可能导致电脑系统瘫痪死机。一些杀毒厂商也将“山寨熊猫”命名为“宝马下载器”。
　　

　　十、“执照凶手”下载者

　　类型：木马下载器
　　危害：2009年底危害最大的木马。它首次采用了真实的数字签名实现“免杀”，能突破几乎所有杀毒软件的防护，同时通过感染QQ和迅雷等常用软件实现强行二次启动，因而具备空前的“免杀”能力和超强的隐蔽生存能力。单纯以查杀量计算，“执照凶手”并不能进入年度十大木马排行榜，但木马用上真实有效的数字签名，无疑是为安全行业敲响了警钟，甚至比犇牛、母马等顽固木马更值得人们警惕。