Virus 版 (精华区)

发信人: Kernel (诺曼底登陆), 信区: Virus
标  题: 2003十大病毒疫情报告
发信站: 哈工大紫丁香 (Mon Dec 22 08:21:43 2003), 站内信件


  【编者按】对计算机安全领域来说，即将过去的2003年是一个名副其实的“病毒年”！
这一年里，计算机病毒的数量，造成的危害，重大流行病毒出现的频度，被感染的计算机
数量都远远超过了以往。形成了：旧病毒依旧“不死”，新病毒层出不穷，互联网危机重
重，漏洞频被利用的鲜明特点。 

　　IT168与金山毒霸合作，并根据金山反病毒中心的全球病毒检测网和用户上报、咨询的
数据，按病毒的破坏大小、造成的损失、散播面积、生命周期，共同统计出2003年的10大
病毒。今年全国90％以上的用户受到过这10个病毒的攻击。 

　　2003年国内计算机病毒呈现出以下七个特点： 

　　1.利用微软漏洞（如OS，IE，SQL，脚本及宏方面的）的病毒威力惊人，扩散速度首屈
一指。（参见“”） 

　　2.网络病毒在2003年迈入成熟期，10大病毒全部以网络传播为主，高速和大范围扩散
的特性体现的淋漓尽致。这类病毒在数量上占据了今年病毒的主流。 

　　3.新病毒层出不穷，流行老病毒生命周期长，全年病毒的传播和发作在密度和频度都
超过了前几年。 

　　4.多数兴风作浪的病毒都发展出了多个变种，带动数次发作、散播的高潮，有形成病
毒家族的趋势。 

　　5.利用电子邮件渠道传播依然是病毒重要手段。能攻击的邮件地址更广泛，邮件的主
题、正文、带毒附件名称更具欺骗性（例如假借微软及反病毒厂商名义）。在引发大规模
垃圾邮件和瘫痪网络两大副作用方面较以前更加突出。 

　　6.病毒的危害在窃取用户数据上体现的更为突出，尤其是在盗取网络游戏帐号信息，
即时聊天工具（如QQ）帐号信息等方面愈演愈烈。 

　　7.许多病毒在传播和发作上体现了更强的混和性，包括利用黑客、木马新技术，连接
到网站或IRC等服务器来下载更新自己等等。 

　　注1：网络病毒指能够通过各种网络途径（覆盖电子邮件、即时聊天工具、P2P、网络
共享、各种网络文件交流等互联网，局域网途径散播发作的病毒） 

　　今年，国内计算机联入互联网已经相当成熟，因此依赖网络扩散，发作的计算机病毒
也进入了一个成熟期。今后随着无线通讯产品和手机等移动通讯工具大量联入互联网，这
些平台很可能成为病毒的下一个泛滥场所。 

　　1.“冲击波”及其变种（Worm.MsBlast及Worm.KillMsBlast）常用别名：冲击波/冲击
波克星，Blaster，Poza，Lovsan/Welchia，Nachi等危害综述：自金山反病毒中心于8月1
1日截获“Worm.MsBlast”这个利用微软今年7月公布的RPC漏洞的病毒以来，它在短短几天
之内感染了国内几乎所有使用WinNT/2000/XP/2003的联网计算机。感染后的计算机出现粘
贴、复制功能失效，不断提示重启，不能正常上网等现象，系统很快随之崩溃。病毒还尝
试对WindowsUpdate站点发起“拒绝服务”（DoS）攻击，企图阻止用户下载相关漏洞的补
丁程序。该病毒出现后带动出一大批利用此漏洞的其他病毒，形成了一个较大的病毒家族
。其中紧跟其后于8月18日出现的“冲击波克星”（Worm.KillMsBlast）病毒也广为流传。
它一面试图清除“冲击波”（Worm.Msblast）病毒，在系统内种下简易预防代码，并尝试
从微软网站下载补丁程序，为受感染的系统打上补丁。但该病毒紧接着就开启上百个线程
疯狂探测IP地址，并通过RPC漏洞迅速传播自己，消耗大量CPU和网络资源，常常导致系统
死机。时至今日，没有安装相应补丁程序的用户系统只要一联上网，很快就会受到这类病
毒攻击。 

　　2.“巨无霸”及其变种（Worm.Sobig）常用别名：“大无极”，“好大”，“霸王虫
”等危害综述：该病毒第一次出现在2003年1月10日，当时就产生了巨大影响。迄今已发展
了6个变种，其中5、6月和9、10月的两度变种引起了大面积的垃圾邮件泛滥乃至网络瘫痪
，大量邮件服务器无法工作，很多单位个人不能正常收发邮件和上网。由于该病毒后来的
每个变种都有一个停止活动的时间点，因此在10月中下旬以后其影响才渐渐消失。“巨无
霸”是一种典型的利用电子邮件散播的病毒。它在被感染计算机里搜索.dbx，.eml，.hlp
，.htm，.html，.mht，.wab，.txt等文件，从中提取电子邮件地址。然后伪装成，，，，
等发件人，向找到的地址群发带有病毒附件的邮件。邮件的主题，正文内容，附件名称非
常具有欺骗性。该病毒还试图从某些网站下载木马程序进一步控制用户计算机，同时也使
用了去年流行蠕虫病毒常用的一些感染方式，如修改注册表，通过网络共享传播等。http
：//www.duba.net/special/virtusspecial/sobig/index.shtml 

　　3.“蠕虫王”（Worm.SQLexp）常用别名：“SQL杀手”，SQL.helkerm，SQLSlammer，
SQLP1434.A，Slammer，Sapphire等危害综述：2003年1月25日，全球互联网遭到“蠕虫王
”病毒攻击，受其影响，国内80%以上的网民连续数日不能上网，大量公司单位的服务器被
此病毒感染引起网络瘫痪。北美、欧洲、尤其是亚太地区的互联网均受到严重影响导致中
断，给包括电信，金融，商业，票务预定在内的多个领域造成巨大损失。“蠕虫王”病毒
体极其短小，仅在内存中进行蔓延，攻击所有安装有MicrosoftSQLServer的NT系列服务器
（包括NT/2000/XP等），具有极强的传播性。未打补丁的SQLServer被感染后继续向其他S
QLServer发送病毒，被感染的服务器又成为新的“毒源”，如此连锁反应，无数服务器瘫
痪，网络带宽也被大量消耗，短短几小时就使得全球互联网瘫痪。该病毒利用的是微软于
2002年七月就发现的“BufferOverrunsin SQL Server 2000 Resolution Service Might 
EnableCodeExecution”缓冲区溢出漏洞，该漏洞在2002年7月17日的MS02-039 补丁包中就
已得到修正。 

　　4.“QQ狩猎者”及其变种（QQmsg各变种）常用别名：“QQ尾巴”，“QQ林妹妹”，Q
Q连发器，QQPass，QQ3344，QQktv530等。危害综述：今年4月中旬，金山反病毒中心首次
截获了一个类似“爱情森林”一样自动向QQ里的好友发消息的病毒，命名为“狩猎者”。
然而在随后的7个月里，该类型病毒不断推陈出新，至今已发展出不同类型的100多个变种
，形成一个较大的病毒家族。这类病毒发作时会寻找QQ窗口，向在线的好友发送诸如“快
去这看看，里面有蛮好的东西”之类的假消息，诱惑用户点击其中的网站链接。而病毒就
潜伏在这些网站上，利用微软浏览器的e漏洞感染打开网页的计算机，使之成为毒源，继续
传播。同时许多变种还添加了多种传统病毒，木马，蠕虫的功能，或占用系统资源，或盗
取用户帐号密码，或扩展传播方式，大量QQ用户深受其害。该病毒利用的e漏洞微软于200
1年初公布，它曾经被许多流行病毒利用，如尼姆达、求职信等。相关文章：详细技术文档
：解决方案链接： 

　　5.“恶邮差”及其变种（Worm.Supnot各变种）常用别名：“爱情后门”，“爱之门”
，LovGate等危害综述：该病毒首次大规模爆发是在今年的2月18日，2月24日又出现一个类
似的变种。3月下旬，该病毒又出现3个变种，增加了猜密码的功能。5月13日，该病毒再次
大规模爆发，新变种完善了已有的功能，添加了感染可执行文件，反安全软件，监控内存
，盗取信息等多种能力，此后又发展了多个变种，几乎使用了两年来PE病毒常用的各种技
术，成为一种继“求职信”后，典型的集传统感染型病毒，蠕虫，木马黑客程序为一体的
混和型病毒。许多邮件服务器都在极短时间内不堪重负而崩溃。该系列病毒主要技术特点
如下：A.改进的邮件传播方式，能够随机根据收件箱中的已有邮件向外传播自己，带毒邮
件的主题和内容跟原始邮件有关；将病毒副本做为附件，附件名称随机，极具迷惑性。B.
释放木马到系统目录，以服务的形式运行，服务名称模仿系统正常服务；监听端口，允许
黑客控制被感染的计算机，盗取用户帐号等信息。C.修改注册表的启动项，txt和exe文件
关联，win.ini文件。D.搜寻本地网络共享目录，通过可写的共享目录感染。E.猜测局域网
中NT/2000/XP机器的Administrator、Guest用户密码，一旦猜中就将自己复制到对方机器，
然后伪装成类似“MicrosoftNetWorkFireWall Services”的服务运行。F.感染EXE文件，
寄生到可执行程序的头部。G.运行一个监控进程，当病毒终止时立即重新装载，反复重写注
册表，终止一些知名的反病毒软件。 

　　6.“口令”及其变种（Worm.DvLdr）常用别名：猜谜者，Deloder，ARG，VNC-based等
危害综述：2003年3月7日，金山反病毒中心首次捕获该病毒。被该病毒感染的主机会收发
大量数据包造成网络拥塞。在3月初曾造成国内骨干互联网出现明显拥塞，数以万计的国内
服务器被感染并自动连接境外服务器。在其后的几个月里，该病毒又出现了两个变种，在
许多局域网中广泛传播。该病毒暴力破解网络上机器的密码，成功后感染被攻破密码的远
程主机，并在其上安装运行木马，使远程主机被攻击者完全控制。今年的流行病毒中，这
一手法为该病毒首创，被其后的许多病毒使用，如“恶邮差”、“妖怪”、“姆玛”等。
该蠕虫主要攻击系统为NT/2000/XP系列的计算机。病毒通过自身捆绑的第三方工具来实现
远程执行应用程序、安装病毒，远程控制主机，通过mIRC进行攻击等功能。 

　　7.“小邮差”及其变种（Worm.Mimail）常用别名：“邮米”，mimail等危害综述：8
月2日“小邮差”首次在国内现身，该病毒来自国外，它不停的发送带毒电子邮件，造成网
络资源被大量浪费。该病毒并未由于其后横扫全国的“冲击波”病毒销声匿迹，反而不断
发展，迄今为止已经发展了9个变种，并且在全球流行病毒排行中节节上升。该病毒仍然主
要通过电子邮件传播，不过它会在更多的文件类型（目前为止是最多的）中收集邮件地址
，存放在如Zip.tmp、Exe.tmp、Eml.tmp之类的文件中，然后向找到的地址发送带毒邮件。
早期变种发出的带毒邮件会伪装成警告用户邮件帐号过期的通知信，骗取用户打开ZIP形式
的附件，然后利用微软今年4月公布的OE漏洞，将后缀为.htm的病毒释放到本地的IE临时文
件夹中，自动将其运行。后期的变种更进一步，会显示让用户输入其信用卡信息的网页，
将用户输入的信息保存，随后发到几个指定的电子邮箱里。该病毒还会对某些网站随机发
起拒绝服务（DoS）攻击。相关文章：详细技术文档：Wrom.MiMail（08月04日）：Worm_M
imail.A（08月05日）：Worm.Mimail.c（11月01日）：Worm.Mimail.e（11月04日）：Wor
m.Mimail.g（11月04日）： 

　　8.“妖怪”变种（Wrom.Tanatos.b）常用别名：“怪物”，Bugbear等危害综述：“妖
怪”病毒首次在国内出现是在2002年的国庆期间，造成了很大危害。今年6月5日，该病毒
的.b变种又一次疯狂来袭。这个新变种和“恶邮差”一样，是一个集文件感染、变形、蠕
虫、黑客木马等多种病毒特性于一体的混和型病毒。该病毒主要有以下几种危害：A.从.m
mf，.nch，.mbx，.eml，.tbb，.dbx，.ocs等文件和注册表中获得邮件帐号地址，群发带
毒邮件。发件人、主题、正文等信息由受感染机器上的已有信息构成，病毒附件名称随机
，具有相当的迷惑性。B.定时终止系统中常用安全软件的运行。C.释放并运行木马程序，
打开端口接受攻击者的指令。攻击者可以控制被感染机器，执行和本地机器一样的操作，
获得用户输入的帐号、密码等信息。D.通将自己复制到网络中其他计算机上的Startup目录
来散播。E.由于病毒未区分网络资源类型，可能会造成网络上打印机打印乱码或其他故障
。 

　　9.“费氏”（Worm.Fizzer）常用别名：“嘶嘶声”，“泡沫人”等危害综述：该病毒
于今年5月11日被捕获。在之后的连续6个月里，在国内不断传播，期间还数次出现大规模
感染的迹象。该病毒也是一个混和型的病毒，除了像许多蠕虫病毒一样利用邮件传播，修
改注册表等之外，还会：A.利用IRC和AOL这两个即时通讯软件开启木马程序，让黑客控制
被感染机器。B.获取P2P工具“KaZaa”的共享目录，把病毒副本复制到共享目录下，供其
它用户下载。C.自动到制作者的网站进行升级。D.记录键盘输入信息，泄漏用户帐号、密
码等资料。 E.将自身作为HTTP服务器运行，同时打开端口2018、2019、2020、2021，让黑
客任意控制被感染的机器。F.终止多个反病毒软件的运行。相关文章：详细技术文档：解
决方案链接： 

　　10.“求职信”及其变种（Worm.wantjob各变种） 

　　常用别名：Klez，Poverty等 

　　危害综述： 

　　该病毒最早于2001年10月被发现，现在已经形成一个较大的病毒家族。“求职信”病
毒是一种经典的混和型蠕虫病毒。在2002年，无论是造成的破坏性还是散播范围，都稳居
各大流行病毒之首。今年，该病毒仍像一颗“常青树”，困扰了全球无数计算机用户。 


　　这类生命力极强的病毒（还包括“新欢乐时光”、FunLove等）的存在，不能不引起足
够的重视！

※ 修改:．Kernel 於 Dec 22 08:22:43 2003 修改本文．[FROM: 218.108.39.42]