南京市互联网病毒疫情通报

（ 2008.07.26-2008.08.03 ）

　　通过对南京市互联网病毒疫情监测，上周病毒总发作 210758 次，其中主要病毒为 "Worm.NetKiller2003" ，发作次数为 209489 次。病毒 "Worm.Blaster.b" ，发作次数为 1211 次。病毒 "Worm.Blaster.c" ，发作次数为 33 次。排名前十位的病毒如下：

　　发作次序排名：

　　1、Worm.NetKiller2003 发作比例为99.4%，同比上周99.97% 稍有下降。

　　2、Worm.Blaster.b 发作比例为0.57% 为新进入排名。

　　3、Worm.Blaster.c 发作比例小于 0.02% 为新进入排名。

　　本周病毒预报如下：

　　1 、“安德夫木马变种 JYE （ Trojan.Win32.Undef. jye ）”是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　2 、“ (Trojan.PSW.Win32.GameOL.ovs) 线上游戏窃取者变种 OVS ”是一个偷游戏密码的病毒。病毒采用 Delphi 语言编写， Upack 加壳。病毒运行后会释放一个名称为随机 8 位字母组合的 exe 和名称为随机八位字母组合的 dll 文件，设置自身属性为系统，隐藏，改写注册表项实现自启动。病毒会把动态库注入到 Explorer.exe 进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

　　3 、“灰鸽子变种 Z （ Backdoor.Win32.Gpigeon2008.z ）”病毒，该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建 IE 进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

　　4 、“（ Trojan.DL.Win32.Undef.aft ）安德夫木马下载器变种 AFT ”是木马下载器病毒。该病毒运行后会释放一个动态库文件，该文件会从黑客指定网站下载一个 config.ini 文件，并且从下载的 config.ini 文件中获取具体要下载的木马、病毒的地址，然后下载到用户计算机上并执行，给用户的计算机安全带来危害。

　　5 、“ (Trojan.Clicker.Win32.VB.xx)VB 木马点击器变种 XX ”病毒，是个 VB 语言编写的木马点击器。它会伪装成一个 IE 网页图标，通过配置程序修改需要刷新 IP 流量的网页地址，并且在后台点击指定的网址，借以获取利益，此病毒带有明显的商业性质。由于病毒会在系统 System32 目录下释放多个不同的病毒程序，会给手动清除带来一定难度。

　　推荐方法：

　　1、下载安全卫士360（v4.18 正式版）及360保险箱（v2.1 正式版），并且检测后去除恶意插件，并起动360保险箱 。

　　2、使用国内知名杀毒软件，与 安全卫士 360 两者配合使用。

南京市公安局网络警察支队
二○○八年八月四日