卡巴斯基實驗室發布2009年08月惡意程式排行

【台北訊】本月兩個惡意程式威脅排行榜中的數據，係根據卡巴斯基安全網路(KSN)在2009年8月中所蒐集的資料，彙整而成。

首先，第一個前20大排行榜，列出了惡意程式、廣告程式以及潛在的未知程式，在第一次被掃瞄器偵測並刪除的數量排名。

Position	Change in position	Name	Number of infected computers
1	0	Net-Worm.Win32.Kido.ih	48281
2	0	Virus.Win32.Sality.aa	23156
3		not-a-virus:AdWare.Win32.Boran.z	16872
4	1	Trojan-Downloader.Win32.VB.eql	8030
5	1	Trojan.Win32.Autoit.ci	7846
6	0	Virus.Win32.Virut.ce	6248
7	2	Worm.Win32.AutoRun.dui	5516
8	0	Net-Worm.Win32.Kido.jq	5446
9	2	Virus.Win32.Sality.z	5157
10		Virus.Win32.Induc.a	4476
11	2	Worm.Win32.Mabezat.b	3982
12	2	Net-Worm.Win32.Kido.ix	3579
13	1	Packed.Win32.Klone.bj	3579
14		Trojan.Win32.Swizzor.b	3327
15		Packed.Win32.Katusha.b	3319
16	2	Worm.Win32.AutoIt.i	3076
17	1	not-a-virus:AdWare.Win32.Shopper.v	2947
18		Trojan-Dropper.Win32.Flystud.yo	2745
19	2	Email-Worm.Win32.Brontok.q	2706
20		P2P-Worm.Win32.Palevo.jaj	2664

Net-Worm.Win32.Kido.ih和Virus.Win32.Sality.aa，在排行榜中長期的領導者，在本月份依然穩坐排行榜的冠亞軍寶座。

本月份則有6個新進的名單，其中有幾個惡意程式值得注意。迄今為止，最有趣的是Virus.Win32.Induc.a，在最近幾個星期我們寫過關於它的消息（http://www.kaspersky.com/news?id=207575885和http://www.viruslist.com/en/weblog?weblogid=208187832）。重申：由於其複製的特性，Virus.Win32.Induc.a利用Delphi兩階段的方法來製造可執行文件─應用程式代碼首先編譯成中的DCU模塊，再由這些模塊組裝成Windows的可執行文件。當軟件產品編譯這些已經受Delphi感染的電腦時，因此，當它們在進行編譯的同時，也傳遞病毒。而這些產品不斷地大量出現，也因此讓人一點也不訝異Induc直進第10名的位置。

另一位新進榜的名單AdWare.Win32.Boran.z，不是病毒，卻在排行榜中有更亮眼的成績，直接衝上第三名的位置。此程式是一個針對IE設計的，主要由Baidu Toolbar所組成，而它在中國大陸地區很受歡迎。它使用rootkit技術，以防止用戶刪除工具欄上的標準使用方法。

Trojan.Win32.Swizzor.b和Packed.Win32.Katusha.b分別是榜上的14和15名。這兩個取代了它們自己較早期版本在本排行榜中的排名。相較於以前的版本，這兩個程序使用的方法非常的複雜且創新。

Palevo.jaj在本排行榜中排行第20名，接替了今年5月出現的P2P-Worm.Win32.Palevo.ddm位置。由於Palevo版本透過網路進行文件的傳遞與交換，感染可移動媒體，也可以透過即時通訊散佈，並包含一個後門程式，使攻擊者能夠控制受感染的電腦，這個惡意軟體因此構成了相當大的威脅。

總體來說，Virus.Win32.Induc在這個月表現突出，主要因為這個惡意軟體使用了一個真正創新的手法來感染使用者的電腦。不過其他部分看來，在8月份的第一個前20大排行榜並不像第二個20大排行一樣有太大變化。

第二個20大排行榜由網路防毒所偵測到的資料匯集而成，反映出網路上的威脅。這個排名包括所有從網頁上偵測到的惡意程式，以及從網頁上下載至使用者電腦的惡意軟體。

Position	Change in position	Name	Number of infected computers
1		not-a-virus:AdWare.Win32.Boran.z	16760
2	1	Trojan-Downloader.HTML.IFrame.sz	5228
3		Trojan.JS.Redirector.l	4693
4	-3	Trojan-Downloader.JS.Gumblar.a	4608
5		Trojan-Clicker.HTML.Agent.w	4564
6		Exploit.JS.DirektShow.k	4475
7	0	Trojan-GameThief.Win32.Magania.biht	4416
8	4	Trojan-Downloader.JS.LuckySploit.q	3416
9	7	Trojan-Clicker.HTML.IFrame.kr	3323
10	4	Trojan-Downloader.JS.Major.c	2688
11		Exploit.JS.Sheat.c	2684
12		Trojan-Downloader.JS.FraudLoad.d	2553
13	4	Trojan-Clicker.HTML.IFrame.mq	2367
14	3	Trojan.JS.Agent.aat	2246
15	3	Exploit.JS.DirektShow.j	2128
16		Trojan-Downloader.JS.IstBar.bh	1973
17		Trojan-Downloader.JS.Iframe.bmu	1933
18		Exploit.JS.DirektShow.l	1838
19		Exploit.JS.DirektShow.q	1753
20		Trojan-Downloader.Win32.Agent.ckwd	1504

在8月份的第二個20大排行中，有一半以上是不曾出現過、網路罪犯新的創意。

AdWare.Win32.Boran.z在這個排行中登上第1名的寶座。在一個月前，我們曾經發表過(http://www.kaspersky.com/news?id=207575877)有關在Internet Explorer的弱點(http://www.microsoft.com/technet/security/bulletin/MS09-028.mspx)。這個利用弱點攻擊的script被卡巴斯基實驗室的產品偵測為Exploit.JS.DirektShow。在7月份的20大排行中，就包括了3個其經過修改的版本，分別是.a、.J和.o。而在這個月，則有4個版本在排行中，顯示了利用這個漏洞進行攻擊，仍是一個非常流行的手法。看來，許多網路罪犯都假設使用者不會安裝修補程序，因此，他們便不斷地嘗試利用這個漏洞來攻擊系統。

另一個漏洞，這次出現在微軟的Office中(http://www.microsoft.com/technet/security/bulletin/MS09-043.mspx)，並且在8月受到網路罪犯積極的利用。其中一個特別針對此漏洞的修改版本Exploit.JS.Sheat在本月份排名第11。透過網頁或script散播偽造或無賴的防毒軟體程式則排名第12位，卡巴斯基防毒軟體將其偵測為Trojan-Downloader.JS.FraudLoad.d。如果使用者拜訪了一個感染此script的網頁，他們將會收到電腦感染了許多惡意程式或病毒的通知，並告訴使用者，他們的軟體能將其病毒移除。當使用者同意接受此軟體的幫助時，這個偽防毒軟體(也稱為流氓軟體，歸類為FraudTool)將會下載至使用者的電腦。

該木馬Redirector.l會將使用者重新導向至特定伺服器，以提高伺服器的命中率。而Trojan-Downloader程式Iframe.bmu是一種載有各種不同攻擊特性的惡意程式典型案例，在這個例子中，主要是利用Adobe的產品。

7月的惡意程式威脅趨勢持續到8月，網路犯罪份子仍然利用市面上普遍的軟體漏洞進行攻擊。而偽防毒軟體的應用程式與基本的iframe-clickers也迅速蔓延。由於網路罪犯認為這些作法經得起考驗，也認為此手法是成功的，因此，下個月的惡意程式排行可能不會有太大改變。

技術支援

下載專區

個人用戶

企業用戶

關於我們

連絡我們 |技術支援 |可疑病毒回報