2008年度危害网吧安全病毒大盘点

风雨2008，网络的迅猛发展和经济利益的驱使导致电脑病毒、木马的数量呈爆炸式增长，其总数已经超过了近五年病毒数量的总和。其中机器狗、磁碟机、FLASH漏洞病毒都榜上有名，而机器狗病毒因其危害程度以及感染率均超越其他病毒，成为名副其实的“毒”王。
一、机器狗
病毒名称：Trojan.Psw.Onlinegame.Dog
病毒中文名：机器狗
病毒类型：木马
危险级别：★★★★★
影响平台：Win9X/2000/XP/NT/Me
机器狗病毒特征：
机器狗病毒是一种可以穿越硬盘还原卡，并使还原软件无法正常使用的木马程序下载器。网吧的电脑感染了“机器狗”病毒之后，会威胁用户的帐号安全，因为病毒会自动下载一些盗号木马。部分变种使用电子宠物“机器狗”图片作为图标，会主动连接互联网中的指定服务器，下载其他一些木马、病毒等恶意有害程序。病毒还会窃取操作系统中游戏的登陆账号和密码信息，使得个人信息被篡改或丢失。
机器狗病毒危害：
(1)进入系统后修改注册表，让几乎所有安全软件不能正常使用。
(2)在用户无法察觉的情况下连接网络，自动在用户的电脑里下载大量木马、病毒、恶意软件、插件等。这些木马病毒能够窃取用户的账号密码、私密文件等各种隐私资料。
(3)通过第三方软件漏洞、下载U盘病毒和Arp攻击病毒的方式进行疯狂扩散传播，造成整个局域网瘫痪。
(4)将恶意代码向真实的磁盘中执行修改覆盖目标文件，导致被修改覆盖的真实磁盘文件无法被还原，系统重新启动后，会再次下载安装运行之前的恶意程序，很难一次彻底清除。
机器狗病毒防治方案：
(1)及时更新杀毒软件，和“机器狗”类似的几个病毒都会找杀毒软件下手，注意观察杀毒软件的工作状态，可以充当“机器狗”之类病毒破坏系统的晴雨表。
(2)及时修补操作系统漏洞、浏览器漏洞和应用软件漏洞。
(3)网络防火墙、ARP防火墙一个也不能少，网络防火墙和ARP防火墙对“机器狗”在局域网的泛滥可以起到遏制作用。
(4)保持足够警惕，小心接收和打开不明程序。控制面板中修改文件夹选项，显示所有文件的扩展名，发现EXE/PIF/COM/SCR等类型一定要倍加小心。如果你的资源管理器工具菜单下文件夹选项不见了，或者打开后，修改选项失效，通常也是中毒的标志。
(5)常备一套工具箱，清理专家、procexp、autoruns、冰刃、Sreng，AV终结者专杀，磁碟机专杀。需要时，这些小工具可令系统起死回生。
(6)强烈建议禁用自动运行功能。禁止自动运行的方法，超简单，在清理专家的百宝箱，打开U盘免疫器，全部选中所有驱动器之后，点禁用。发现被狗咬，应该及时停止登录在线游戏，请求游戏运营商先将帐号冻结，避免遭受损失。就好比你的银行卡丢掉，你的第一反应是给银行打电话，请求冻结帐号。

二、磁碟机

病毒名称：Trojan.Psw.Onlinegame.CD

病毒中文名：磁碟机

病毒类型：木马

危险级别：★★★★★

影响平台：Win9X/2000/XP/NT/Me

磁碟机病毒特征：

磁碟机病毒是一个下载者病毒，会关闭一些安全工具和杀毒软件并阻止其运行运行，并会不断检测窗口来关闭一些杀毒软件及安全辅助工具，破坏安全模式，删除一些杀毒软件和实时监控的服务，远程注入到其它进程来启动被结束进程的病毒。

磁碟机病毒危害：

(1)修改系统默认加载的DLL列表项来实现DLL注入。通过远程进程注入，并根据以下关键字关闭杀毒软件和病毒诊断等工具。

(2)修改注册表破坏文件夹选项的隐藏属性修改，使隐藏的文件无法被显示。

(3)自动下载最新版本和其它的一些病毒木马到本地运行。

(4)不断删除注册表的关键键值来来破坏安全模式和杀毒软件和主动防御的服务，使很多主动防御软件和实时监控无法再被开启。

(5)病毒并不主动添加启动项，而是通过重启重命名方式。这种方式自启动极为隐蔽，现有的安全工具很难检测出来。

(6)病毒会感染除SYSTEM32目录外其它目录下的所有可执行文件，并且会感染压缩包内的文件。

磁碟机病毒防治方案：

(1)用改名法将system32和dllcache目录下的cmd.exe临时改名为cm.dll，重启系统看看。

(2)重启系统后，检查system32和dllcache目录。发现改名后的cm.dll都在，但是，system32目录下出现了一个怪怪的cmd.exe。这个cmd.exe的logo不同于正常的cmd.exe，应该是病毒现从I386目录里找来的，这个东东可不能运行。

(3)不管这些，先看看病毒文件能否手工删除(如果那个cmd.exe管用，NetApi000.sys即可加载，病毒已经完整运行了。病毒文件是删不掉的)。结果：所有病毒文件被一一删除了。

(4)删除system32目录下那个异常的cmd.exe。将system32和dllcache目录下的cm.dll改回cmd.exe。注：我的电脑只有一个分区。处理到这里，就完事了。多分区系统，非系统分区还有病毒。这样处理完后并不能彻底解决问题，还需用杀软全盘杀毒。切记!

三、AV终结者

病毒名称：Trojan/Anti-AV

病毒中文名：Av终结者

病毒类型：木马

危险级别：★★★★★

影响平台：Win9X/2000/XP/NT/Me

AV终结者特征：

AV终结者集目前最流行的病毒技术于一身，破坏过程经过了严密的“策划”，首先摧毁用户电脑的安全防御体系，之后“AV终结者”自动连接到指定的网站，大量下载各类木马病毒，盗号木马、广告木马、风险程序接踵而来，使用户的网银、网游、QQ账号密码以及机密文件都处于极度危险之中。

AV终结者危害：

(1)禁用所有杀毒软件以相关安全工具，让用户电脑失去安全保障。
(2)破坏安全模式，致使用户根本无法进入安全模式清除病毒。

(3)强行关闭带有病毒字样的网页，只要在网页中输入“病毒”相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法。

(4)在各磁盘根目录创建可自动运行的exe程序和autorun.inf文件，一般用户重装系统后，会习惯性的双击访问其他盘符，病毒将再次被运行。

AV终结者防治方案：

(1)保管好自己的U盘，MP3、移动硬盘等移动储存的使用，当外来U盘接入电脑时，请先不要急于双击打开，一定要先经过杀毒处理，建议采用具有U盘病毒免疫功能的杀毒软件。

(2)给系统打好补丁程序，尤其是MS06-014和MS07-17这两个补丁，目前绝大部分的网页木马都是通过这两个漏洞入侵到计算机里面的。

(3)即时更新杀毒软件病毒库，做到定时升级，定时杀毒。

(4)安装软件要到正规网站下载，避免软件安装包被捆绑进木马病毒。
(5)关闭windows的自动播放功能。

(6)下载AV终结者病毒专杀工具，清除已知的病毒，修复被破坏的系统配置。(注：AV终结者专杀工具的重要功能是修复被破坏的系统，包括修复映像劫持；修复被破坏的安全模式；修复隐藏文件夹的正常显示和删除各磁盘分区的自动播放配置。)

(7)到网上下载IceSword工具，并将该工具改名，如改成abc.exe名称，这样就可以突破病毒进程对该工具的屏蔽。然后双击打开IceSword工具，结束一个8位数字的EXE文件的进程，有时可能无该进程。

(8)利用IceSword的文件管理功能，展开到C:\ProgramFiles\CommonFiles\MicrosoftShared\MSINFO\下，删除2个8位随机数字的文件，其扩展名分别为：dat和dll。再到％windir％\help\目录下，删除同名的.hlp或者同名的.chm文件，该文件为系统帮助文件图标。

(9)然后到各个硬盘根目录下面删除Autorun.inf文件和可疑的8位数字文件，注意，不要直接双击打开各个硬盘分区，而应该利用Windows资源管理器左边的树状目录来浏览。有时电脑中毒后可能无法查看隐藏文件，这时可以利用WinRar软件的文件管理功能来浏览文件和进行删除操作。

(10)利用IceSword的注册表管理功能，展开注册表项到：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExecutionOptions]，删除里面的IFEO劫持项。

四、扫荡波

病毒名称：Worm.SaodangBo.a.94208

病毒中文名：扫荡波

病毒类型：蠕虫病毒

危险级别：★★★★★

影响平台：Win9X/2000/XP/NT/Me

扫荡波病毒特征：

“扫荡波”运行后遍历局域网的计算机并发起攻击，攻击成功后，被攻击的计算机会下载并执行一个下载者病毒，而下载者病毒还会下载“扫荡波”，同时再下载一批游戏盗号木马。被攻击的计算机中“扫荡波”而后再向其他计算机发起攻击，如此向互联网中蔓延开来。

扫荡波病毒危害：

据了解，这是黑客利用微软最新RPC漏洞MS08-067实施的“扫荡波”蠕虫攻击，用户如尚未给系统打好KB958644补丁，一旦被黑客扫描发现，瞬间便受到蠕虫病毒侵袭，成为被黑客远程控制的帮凶，主动去攻击其他用户的电脑。也就是说，局域网中一旦有一台电脑中招，全网没有修复漏洞的电脑就都会感染病毒，其危害和传播形式与猖獗一时的“冲击波”、“震荡波”非常相似。

扫荡波病毒防治方案：

(1)用户下载MS08-067(KB958644)补丁，及时修复系统漏洞。

(2)如果打补丁出现问题或还出现攻击推崇的崩溃现象则可以使用手工解决方案禁用IPC$空连接，避免病毒连接到用户系统上。运行regedit，找到如下子键HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA
把RestrictAnonymous键值改为REG_DWORD：00000001

五、网游窃贼

病毒名称：Trojan/PSW.GamePass.Gen

病毒中文名：网游大盗

病毒类型：木马

危险级别：★★★★

影响平台：Win9X/ME/NT/2000/XP/2003

网游大盗病毒特征：

Trojan/PSW.GamePass“网游大盗”是一个盗取网络游戏帐号的木马程序，会在被感染计算机系统的后台秘密监视用户运行的所有应用程序窗口标题，然后利用键盘钩子、内存截取或封包截取等技术盗取网络游戏玩家的游戏帐号、游戏密码、所在区服、角色等级、金钱数量、仓库密码等信息资料，并在后台将盗取的所有玩家信息资料发送到骇客指定的远程服务器站点上。

致使网络游戏玩家的游戏帐号、装备物品、金钱等丢失，会给游戏玩家带去不同程度的损失。“网游大盗”会通过在被感染计算机系统注册表中添加启动项的方式，来实现木马开机自启动。

网游大盗病毒危害：

病毒运行后，在C盘programfile以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了.com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件Msconfig.com，病毒作者的“良苦用心”由此可见。

病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把winlogon.exe的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\winlogon.exe，以此达到迷惑用户的目的。

网游大盗除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。这也是许多用户反映病毒屡杀不绝的原因。

网游大盗病毒防治方案：

(1)下载专杀软件进行查杀。

(2)立即升级杀毒软件，开启高速杀毒引擎及各项监控，对目前互联网盛行的病毒、木马、恶意软件（流氓软件）、广告软件等进行分级高速查杀，防止恶性病毒攻击用户计算机。

六、下载者

病毒名称：w32.Troja.downloader

中文名：下载者

病毒类型：木马下载器

危害等级：★★★★

下载者病毒危害：

该病毒为Windows平台下通过网络下载QQ木马、网游木或其它病毒的下载器病毒运行后将自己伪装成伪系统正常文件，并利用特殊技术将病毒代码注入到系统正常进程中，以绕过网络防火墙的监视。然后下载其它病毒。

下载者病毒防治方案：

下载专杀工具进行查杀

七、灰鸽子

病毒名称：Backdoor/Huigezi

病毒中文名：灰鸽子

病毒类型：后门

危险级别：★★★★

影响平台：Win9X/ME/NT/2000/XP/2003

灰鸽子病毒特征：

Backdoor/Huigezi“灰鸽子”是后门家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“灰鸽子”运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存(文件属性设置为：只读、隐藏、存档)。“灰鸽子”是一个反向连接远程控制后门程序，运行后会与骇客指定远程服务器地址进行TCP/IP网络通讯。

中毒后的计算机会变成网络僵尸，骇客可以远程任意控制被感染的计算机，还可以窃取用户计算机里所有的机密信息资料等，会给用户带去不同程度的损失。“灰鸽子”会把自身注册为系统服务，以服务的方式来实现开机自启动运行。“灰鸽子”主安装程序执行完毕后，会自我删除。

灰鸽子病毒防治方案：

清除灰鸽子就很容易了。清除灰鸽子仍然要在安全模式下操作，主要有两步：1、清除灰鸽子的服务；2、删除灰鸽子程序文件。注意：为防止误操作，清除前一定要做好备份。

(1)清除灰鸽子的服务。注意清除灰鸽子的服务一定要在注册表里完成，对注册表不熟悉的网友请找熟悉的人帮忙操作，清除灰鸽子的服务一定要先备份注册表，或者到纯DOS下将注册表文件更名，然后再去注册表删除灰鸽子的服务。因为病毒会和EXE文件进行关联。

2000／XP系统：

a、打开注册表编辑器（点击“开始”－》“运行”，输入“Regedit.exe”，确定。），打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services注册表项。

b、点击菜单“编辑”－》“查找”，“查找目标”输入“game.exe”，点击确定，我们就可以找到灰鸽子的服务项（此例为Game_Server，每个人这个服务项名称是不同的）。

c、删除整个Game_Server项。

(2)删除灰鸽子程序文件。删除灰鸽子程序文件非常简单，只需要在安全模式下删除Windows目录下的Game.exe、Game.dll、Game_Hook.dll以及Gamekey.dll文件，然后重新启动计算机。至此，灰鸽子VIP2005服务端已经被清除干净。

以上介绍的方法适用于我们看到的大部分灰鸽子木马及其变种，然而仍有极少数变种采用此种方法无法检测和清除。同时，随着灰鸽子新版本的不断推出，作者可能会加入一些新的隐藏方法、防删除手段，手工检测和清除它的难度也会越来越大。

八、U盘病毒

病毒名称：Checker/Autorun

病毒中文名：U盘寄生虫

病毒类型：蠕虫

危险级别：★★★★

一周感染量：18184台

影响平台：Win9X/ME/NT/2000/XP/2003

U盘病毒特征：

Checker/Autorun“U盘寄生虫”是一个利用U盘等移动存储设备进行自我传播的蠕虫病毒。“U盘寄生虫”运行后，会自我复制到被感染计算机系统的指定目录下，并重新命名保存。“U盘寄生虫”会在被感染计算机系统中的所有磁盘根目录下创建“Autorun.inf”文件和蠕虫病毒主程序体，来实现用户双击盘符而启动运行“U盘寄生虫”蠕虫病毒主程序体的目的。“U盘寄生虫”还具有利用U盘、移动硬盘等移动存储设备进行自我传播的功能。

“U盘寄生虫”运行时，可能会在被感染计算机系统中定时弹出恶意广告网页，或是下载其它恶意程序到被感染计算机系统中并调用安装运行，会给用户带去不同程度的损失。“U盘寄生虫”会通过在被感染计算机系统注册表中添加启动项的方式，来实现蠕虫开机自启动。

U盘病毒防治方案：

(1)手动清除，首先将“隐藏受保护的操作系统文件”的选中状态取消掉，并选中“显示所有文件和文件夹”，这样“Autorun.inf”病毒文件就会显示出来，右键把“Autorun.inf”文件打开，会看到里面的“open=xxx.exe”内容，若这类病毒没有进程保护时，用户只需要将“xxx.exe”文件以及各个“Autorun.inf”文件直接删除掉，就能将闪盘病毒从系统中清除掉了。

(2)用“费尔木马强力清除助手”工具，运行工具选中“抑制文件再次生成”项目，同时在“文件名”文本框中输入“Autorun.inf”文件的具体路径信息，再单击“清除”按钮，就可以把“Autorun.inf”文件删除干净。

(3)要预防闪盘病毒再次袭击，用户需要在闪盘根目录下面自己手工创建一个“Autorun.inf”文件，这样一来闪盘病毒日后就无法往闪盘根目录下面自动生成“Autorun.inf”病毒文件了，毕竟相同的目录下面是不允许创建同名文件或同名文件夹的。

九、QQ大盗

病毒名称：Trojan/Psw.Ala.QQpass

病毒中文名：QQ大盗

病毒类型：蠕虫

危险级别：★★★★

影响平台：Win9X/ME/NT/2000/XP/2003

QQ大盗特征：

Trojan/PSW.QQPass“QQ大盗”是木马家族的最新成员之一，采用高级语言编写，并经过加壳保护处理。“QQ大盗”运行时，会在被感染计算机的后台搜索用户系统中有关QQ注册表项和程序文件的信息，然后强行删除用户计算机中的QQ医生程序“QQDoctorMain.exe”、“QQDoctor.exe”和“TSVulChk.dat”文件，从而来保护自身不被查杀。

“QQ大盗”运行时，会在后台盗取计算机用户的QQ帐号、QQ密码、会员信息、ip地址、ip所属区域等信息资料，并且会在被感染计算机后台将窃取到的这些信息资料发送到骇客指定的远程服务器站点上或邮箱里，会给被感染计算机用户带去不同程度的损失。“QQ大盗”通过在注册表启动项中添加键的方式，来实现开机木马自启动。

QQ大盗防治方案：

(1)请立即升级杀毒软件。

(2)开启杀毒软件“安全助手/流氓软件清除”功能，该功能可完全、干净地卸载有害代码，彻底告别有害代码的骚扰。

(3)全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。

(4)将应用软件升级到最新版本，其中包括各种IM即时通讯工具、下载工具、播放器软件、搜索工具条等；更不要登录来历不明的网站，避免病毒利用其他应用软件漏洞进行木马病毒传播。

(5)防马墙在系统自动搜集分析带毒网页的基础上，通过黑白名单，阻止用户访问带有木马和恶意脚本的恶意网页并进行处理，有效保障用户上网安全。

(6)怀疑已中毒的用户可使用免费在线查毒进行病毒查证。

十、Flash漏洞攻击器

病毒名称：Hack.Exploit.Swf.A

病毒中文名：Flash漏洞攻击器

病毒类型：蠕虫

危害级别：★★★★

一周感染量：1890453

影响平台：Win9X/ME/NT/2000/XP/2003

Flash漏洞攻击器特征：

这是一个黑客程序，可以破坏Flash插件的安全机制，使其它病毒获取系统权限，侵入用户电脑。目前每天有数十万台电脑被此病毒感染，危害十分严重。此病毒会被植入“挂马网站”中，用户浏览时就可能中毒。目前已截获的主要是木马下载器病毒，它们会从网上下载其它多种盗号木马，窃取流行网络游戏的账号和装备。

Flash漏洞攻击器防治方案：

(1)及时上网下载专杀工具，安装最新Flash　Player插件，弥补漏洞。

(2)为本机管理员账号设置较为复杂的密码，预防病毒通过密码猜测进行传播；打开防护中心开启全部防护，防止病毒通过IE漏洞等侵入计算机。