2011年十大木马排行榜及病毒症状分析与查杀方法

2011年十大木马排行榜及病毒症状分析与

查杀方法

日前，360安全中心发布《2011-2012年度互联网安全报告》指出，2011年国内日均有853.1万台电脑受到木马病毒攻击，占开机联网的电脑比例为5.7%。在去年新生网络安全威胁中，BMW木马、黏虫木马、Duqu（超级工厂Ⅱ）等入围“十大木马”。

查看360《2011-2012年度互联网安全报告》全文（请双击下方文档）

BMW木马行为分析

《报告》显示，2011年国内共新增木马病毒10.56亿个，相比2010年增加87.7%，360安全产品日均拦截及查杀木马病毒6468.5万个。在木马数量高涨的同时，木马攻击成功率则有所降低。在每天接触木马病毒的853.1万台电脑中，实际染毒比例仅为1%-3%，而且大多为关闭安全软件后使用游戏外挂、盗版视频播放器等诱惑资源的电脑。

360安全中心指出，随着免费安全软件普及和云安全技术成熟，木马攻击手段进一步趋向“顽固化”，深入感染电脑主板Bios的BMW木马就是其中的典型。作为2011年度“毒王”，BMW木马借助游戏外挂传播，使受害电脑无论重装系统、格式化硬盘还是换掉硬盘，都无法将其彻底清除，只能求助于专杀工具。迄今，国内已有超过8万台电脑感染BMW木马。

据悉，目前近半数木马带有强制广告行为，网民可据此判断电脑是否受到木马侵袭，主要症状包括：浏览器首页被篡改为陌生网址导航、访问A网站却打开B网站、桌面常驻广告图标、自动安装不需要的软件等。

2011年十大木马排行榜

一、BMW（Bios Rootkit）

全球首例可刷写BIOS的BMW木马（国际厂商命名为Mebromi），感染电脑主板的BIOS芯片和硬盘MBR（主引导区），再控制Windows系统文件加载恶意代码，使受害用户无论重装系统、格式化硬盘，甚至换掉硬盘都无法将其彻底清除。

北京时间9月1日，360安全中心发布2011年首个红色安全警报称，一种新型的BMW病毒正在大量发作，已攻击上万台电脑。据分析，该病毒能够感染电脑主板的BIOS芯片和硬盘MBR（主引导区），再控制Windows系统文件加载恶意代码，使受害用户无论重装系统、格式化硬盘，甚至换掉硬盘都无法彻底清除病毒。

与13年前全球闻名的CIH相比，BMW病毒同样会感染BIOS 芯片，但它的危害更为严重。CIH发作的后果是破坏硬盘数据、破坏BIOS芯片，而BMW病毒能够联网下载任意程序，不仅可以窃取或破坏硬盘数据，还可按照黑客指令实施盗号、远程控制“肉鸡”、篡改浏览器等多重危害。

根据360安全中心分析，BMW病毒攻击过程包括四步：第一步，感染主板BIOS芯片；第二步，通过BIOS感染硬盘MBR；第三步，通过MBR感染Windows系统文件；第四步，联网下载大批盗号木马等恶意程序，并将浏览器主页篡改为“new93网址导航”。

“用户电脑在正常开启360安全卫士的情况下，能够防御BMW 病毒，使其无法感染主板BIOS芯片和硬盘MBR。”360安全专家

石晓虹博士透露，BMW病毒和此前泛滥的“鬼影3”使用了相同的服务器，应该是由同一个黑客团伙制作出来的，中招人群主要是使用游戏外挂而关闭安全软件的玩家。

据介绍，如果安全软件扫描发现“硬盘引导区病毒”，杀毒后又会重复出现，很可能是电脑中了BMW病毒。为此，360今日紧急独家推出“BMW病毒专杀工具”，建议反复杀毒都杀不干净的网民下载使用。

下载地址：https://www.360docs.net/doc/7117285819.html,/MBRImmunity.zip

使用说明：

https://www.360docs.net/doc/7117285819.html,/4005462/251088932.html?recommend=1

二、黏虫木马

新一代盗号木马的代表，主要利用伪装图片传播，运行后以透明窗体覆盖聊天软件登录窗，“黏”走受害用户的QQ、MSN、旺旺等聊天帐号密码。

“打开网友照片后QQ忽然掉线，重新登录没过多久，QQ就被盗号了”。近期，一类名为“QQ黏虫”的木马让不少网民深受其害。据360安全中心分析，该木马利用伪装图片传播，运行后以透明窗体覆盖QQ登录窗，“黏”走受害用户的QQ密码。之后盗号分子

再用这些QQ号向好友列表群发借钱消息，使丢号用户的亲朋好友也落入诈骗陷阱。

为全面拦截“QQ黏虫”，360安全卫士近日独创推出可识别QQ登录窗口异常的主动防御技术，能够在QQ登录窗被木马劫持时立刻发出报警提示，是目前防御此类木马最有效的安全软件。

360安全中心统计发现，目前超过半数QQ盗号木马均为“QQ 黏虫”及其变种。这类木马盗号分为三步：第一，盗号分子以发照片或电子相册的名义把木马发给QQ好友；第二，“QQ黏虫”运行后强制终止QQ程序，迫使用户重新登录；最后，木马创建透明窗覆盖在QQ登录窗口上，收集受害用户输入的密码信息，自动发送到盗号分子指定的远程服务器上。

据360安全专家石晓虹博士介绍，以往木马大多利用注入QQ 或截取键盘记录盗号，“QQ黏虫”的盗号方式则改为模拟窗口，让受害用户主动“交出”QQ密码，因此能够绕过QQ“安全防护版”的防注入机制。再加上此类木马行为隐蔽、免杀速度快，常规杀毒软件也很难利用行为启发或动态启发进行预防。

“全面拦截‘QQ黏虫’的方法只有对症下药，在其模拟QQ登录窗口时报警拦截。这样无论‘QQ黏虫’如何免杀变形，都无法再

窃取QQ密码。”石晓虹博士表示，360安全卫士现已针对“QQ黏虫”推出专项防护功能，只要用户正常开启360实时防护，即便在看网友照片时误中“QQ黏虫”，也可保护帐号不被木马窃取。

图：360安全卫士独创全面拦截“QQ黏虫”的防护功能

三、Duqu

全球闻名的“超级工厂2代”，利用Windows内核0day漏洞传播，使嵌入恶意字体文件的Word文档成为木马载体，再针对攻击目标窃取机密技术资料。在国内，一家拥有蓝牙软硬件技术的高科技企业也曾遭到Duqu攻击。

近日微软发布安全警告称，一个最新发现的Windows内核漏洞

正在受到“Duqu病毒”攻击，可能导致用户电脑打开Word文档时感染病毒。11月6日晚，360安全中心针对该漏洞在国内率先推出应急补丁，360安全卫士用户只需升级到最新版，即可自动免疫漏洞攻击，预防病毒侵入系统。

据国外安全机构调查，“Duqu病毒”是超级工厂病毒的第二代变种。此前，超级工厂病毒因破坏伊朗核电站而闻名全球，“Duqu 病毒”则转向攻击高科技企业，窃取机密技术资料，目前全世界已有多个国家的企业电脑感染此病毒。在国内，一家拥有蓝牙软硬件技术的高科技企业也曾遭到“Duqu病毒”攻击。

360安全专家介绍说，“Duqu病毒”利用了一个微软尚未正式修复的Windows内核漏洞传播。利用该漏洞，黑客使嵌入恶意字体文件的Word文档成为病毒载体，当受害用户打开Word时，恶意代码就会直接以系统最高权限运行，对电脑系统安全造成极大威胁。

为封堵“Duqu病毒”进行传播的Windows内核漏洞，微软公司在其官网提供了一个临时解决方案，供Windows用户下载使用。此外，网民也可升级360安全卫士到最新版本，能够在运行Word 等文档时拦截攻击系统漏洞的各类病毒。

新版卫士下载地址：https://www.360docs.net/doc/7117285819.html,/instbeta.exe

图：360安全卫士可拦截“Duqu”等病毒对Windows最新内核漏

洞的攻击

四、新“网银大盗”

2011年危害最大的网购木马，它利用合法程序加载组装恶意代码，运行后篡改支付页面，劫持受害者的网购资金。

年关临近，火热的网购促销活动吸引了大量消费者下单，一种名为“网银大盗”的网购木马最新变种也趁机活跃，“拦路打劫”消费者的购物资金。据360监测，自“双12促销”起，360网购保镖日均拦截“网银大盗”2000余次，拦截量相比前期增长一倍以上。

“网银大盗”利用某知名播放器组件加载木马，由正常软件作为木马加载器和保护伞，从而导致绝大多数杀毒软件拦截失效。该木马运行后，会偷偷篡改网上支付金额和收款账户，把受害者的网银资金劫持到黑客账户中。

据分析，“网银大盗”一般会首先盗用或注册一家网店，以极低的商品价格吸引买家访问，再把木马伪装为“商品优惠码”、“实物拍摄图”等名称的压缩文件，通过聊天软件发给前来咨询的买家。

买家在促销活动中容易放松警惕，如果点击运行了“网银大盗”，购物支付页面就会被木马篡改。与之前的网购木马不同，“网银大盗”不仅劫持支付资金流向，还会数百倍放大支付金额，使中招网民蒙受更惨重的经济损失。

针对新型“网银大盗”，360网购保镖已更新升级，是目前国内唯一可拦截该木马变种的安全软件。专家同时建议，不要轻易打开陌生人发来的文件，也可有效降低被网购木马攻击的风险。

新型“网银大盗”木马分析

一、黑客盗用或注册一家网店，以极低的商品价格吸引买家访问，编造借口把伪装商品资料的木马压缩包发给买家；

二、木马压缩包中包含三个文件，这些文件单独使用都无法作为木马，但是当它们组装在一起，连环加载运行后就成了极具危害的“网银大盗”。具体流程如下图所示：

三、新型“网银大盗”采用多重免杀和劫持技术，传统杀软难以有效拦截。

（1）利用某知名播放器的合法程序捆绑恶意dll文件，由于该播放器没有验证自己加载dll文件的真实性，从而成为木马加载器和保护伞，使其能在一些传统杀毒软件的监控下蒙混过关；

（2）上述dll文件并不包含网购劫持恶意代码，这部分恶意代码被加密封装在另一个dat数据文件中。当dll文件被播放器程序加载运行后，再解密组装dat文件中的恶意代码，从而成为某些基于文件分片哈希“微特征”技术的天然克星。

（3）新型“网银大盗”为了突破常规的网购防护模式，采用了更复杂的网页篡改技术，通过修改订单数据、网页显示数据、订单结算数据等，将网页支付订单的收款人改为木马作者，并把付款金额改为木马作者定制的数目。

因此，尽管有传统杀毒厂商宣称已可查杀网购木马，但实际上只是对已知入库木马的检测，并非彻底防御所有采用类似技术的网购木马。只要“网银大盗”稍加变形，仍有可能轻易突破上述杀毒软件。

四、360独创防护技术，真正彻底防御“网银大盗”等网购木马。

（1）360网购保镖对用户运行的exe和dll进行综合判断，不会被木马的加载手段欺骗，可成功识别并预防“网银大盗”的欺骗攻击手段；

（2）360网购保镖应用“非白即黑”的严格安全策略，即使被加载的dll中恶意代码极少，也可识别出其可疑行为，进行拦截并提示用户；

（3）360网购保镖独创业界最完善的“支付页面防篡改”技术，针对所有关键支付页面进行防篡改拦截，彻底封堵网购木马劫持行为，

保护用户网购财产安全。

五、鬼影3

感染电脑硬盘的主引导记录（MBR），无论重装系统或是格式化硬盘都无法杀掉。此外，该木马还释放一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作，因此成为比较难以清除的顽固木马。

“鬼影3”病毒症状（只感染Windows XP系统）：

1、杀毒软件反复对beep.sys和c盘根目录下alg.exe报毒却无法清除；

2、浏览器首页被篡改为bubu888网址导航（也可能为其它网址导航）；

3、电脑桌面出现“免费电影”、“美女图片”等广告图标，不

定期弹出广告网页。

“鬼影3”专杀工具下载链接：

https://www.360docs.net/doc/7117285819.html,/BeepMBR.zip

格式化硬盘都删不掉的“鬼影”系列病毒又出现了。近日360安全中心捕获最新的“鬼影3”病毒后发现，该病毒采用非常顽固的方式强驻受害电脑，常规杀毒技术无法清理，甚至病毒作者似乎也认为“鬼影3”根本不可能被杀掉，并没有像前两代“鬼影”一样破坏杀毒软件。为此，360已紧急开发出专杀工具，提醒受害网民尽快安装使用。

360安全专家石晓虹博士介绍说，“鬼影”系列病毒的共同特点是感染电脑硬盘的主引导记录（MBR），无论重装系统或是格式化硬盘都无法清除病毒。在查杀前两代“鬼影”时，不同厂商推出的专杀工具都会首先修复MBR，然后再全面扫描清除病毒残骸，然而这个方法在查杀“鬼影3”时却遇到了难题。

据分析，“鬼影3”病毒之所以非常顽固，原因在于它释放了一个恶意驱动作为“保镖”，用来禁止任何修复MBR的操作。对杀毒软件来说，不清除“保镖”驱动就无法修复MBR，不修复MBR又无法清除“保镖”驱动，从而陷入“鬼影3”怎么都杀不干净的死循

环中。

不过，“鬼影3”病毒并非完全无药可解。360安全中心经过研究，已经找到了突破该病毒“保镖”驱动的办法，能够顺利修复MBR 并彻底清除病毒。另外，如果网友电脑开启了360安全卫士，也可以在“鬼影3”感染电脑前就将其拦截，避免电脑遭受不必要的损失。

“鬼影3”病毒典型症状包括：篡改浏览器首页为bubu888网址导航、桌面出现“免费电影”、“美女图片”等广告图标、不定期弹出网页广告、杀毒软件反复扫出beep.sys和alg.exe文件却无法清除。如果符合上述情况，网友应立即访问360官网下载使用专杀工具。

附：“鬼影”病毒家族进化史

“鬼影”病毒家族主要包括三代“鬼影”病毒和“魅影”分支，共同特征是感染电脑硬盘的主引导记录（MBR）。当受害电脑开机时，“鬼影”病毒家族会比Windows系统更早加载到内存中运行，从而使病毒获得系统控制权。

“鬼影3”中毒现象

由“鬼影3”病毒创建的beep.sys和alg.exe无法清除

浏览器首页被篡改

桌面出现广告图标

六、桌面雪花

利用QQ邮箱附件自动传播的木马下载器，同时带有蠕虫特征。它采用分进合击的攻击手段，将木马分为两部分：一部分是不带有恶意代码的“桌面雪花”屏保，另一部分是加密的ini配置文件，也不可能单独作为木马。然而当屏保程序运行时，木马会自动合体，下载其他木马病毒进入受害者电脑。

最近有网友反馈称，自己的QQ邮箱收到联系人发来的“桌面雪花”附件，尽管该附件通过了邮箱自带的杀毒引擎扫描，运行后电脑却变得异常缓慢，怀疑其带有病毒。经过360安全中心分析，“桌面雪花”确实是一个伪装屏保程序的病毒下载器，如果有网友运行过该程序，应尽快使用360安全卫士或360杀毒进行查杀。

360安全中心发现，“桌面雪花”之所以会突破一些杀毒引擎的扫描，是由于它采用了巧妙的方法把病毒分为两部分：一部分是不带有恶意代码的“桌面雪花”屏保，另一部分是ini配置文件，也不可能单独作为病毒。然而当这两部分组装在一起，“桌面雪花”就会摇身一变成为恶性病毒下载器，就像金庸武侠小说《倚天屠龙记》中的“醉仙灵芙”和“奇鲮香木”，两个无毒物品的香气混合在一起，就变得剧毒无比。

据介绍，“桌面雪花”病毒会偷偷下载大批广告程序，极度消耗电脑内存，并且会占用大量带宽，使受害电脑的上网速度急剧下降。更可怕之处在于，一旦“桌面雪花”病毒攻陷一台电脑，就会控制受害者的QQ邮箱，自动向联系人群发带毒邮件，邮件标题为“超级漂亮的桌面雪花”，因此具备了非常强的扩散能力。360安全中心监测数据表明，该病毒至少已造成8万到10万台电脑中招。

目前，360安全卫士和360杀毒均可以彻底查杀“桌面雪花”病毒。专家建议，网友们在收到朋友发来“桌面雪花”等邮件时，切勿下载点击邮件附件，同时应提醒对方尽快查杀病毒，以免殃及更多网友电脑中招。

图1：“桌面雪花”通过邮件附件传播

图2：“桌面雪花”病毒由time.ini配置文件控制行为

七、图纸大盗

通过电子邮件传播的商业间谍木马，邮件附件名为“趣味机械制图.rar”。如有网民下载运行了附件，同时电脑中又装有AutoCAD 软件，“图纸大盗”就会被激活。当中招电脑再打开任意CAD图纸时，木马都会把这张图纸发送到黑客指定的邮箱。

Stuxnet超级工厂病毒之后，一款名为“图纸大盗”的商业间谍型病毒又在网上爆发。据360安全中心分析，“图纸大盗”病毒会专门感染装有AutoCAD的电脑，并将其中的CAD设计图纸作为邮件附件发到黑客指定的邮箱。保守估计，该病毒目前至少已窃取了上万份CAD设计图纸。

下载360系统急救箱查杀“图纸大盗”

下载360杀毒3.0版彻底免疫“图纸大盗”等CAD病毒