瑞星一周播报（2007.1.29—2007.2.4）

　　肆虐了一周的“尼姆亚（Worm.Nimaya）”（又名“熊猫烧香”）病毒本周仍然值得关注。该病毒通过感染文件传播，可造成用户文件损坏，无法运行。由于被该病毒感染的文件，图标会变为一只举着三炷香的熊猫，因此该病毒又被称作“熊猫烧香”。目前，瑞星公司已经截获到该病毒的数十个变种。

本周关注病毒：尼姆亚（Worm.Nimaya）又名“熊猫烧香” 警惕程度 ★★★★

　　它是一个能在WIN9X/NT/2000/XP/2003系统上运行的蠕虫病毒。该病毒采用“熊猫烧香”头像作为图标，诱使用户运行。该变种会感染用户计算机上的EXE可执行文件，被病毒感染的文件图标均变为“熊猫烧香”。同时，受感染的计算机还会出现蓝屏、频繁重启以及系统硬盘中数据文件被破坏等现象。该病毒会在中毒电脑中所有的网页文件尾部添加病毒代码。一些网站编辑人员的电脑如果被该病毒感染，上传网页到网站后，就会导致用户浏览这些网站时也被病毒感染。

专家建议

　　1、安装专业的杀毒软件，升级到最新版本，并打开实时监控程序；
　　
　　2、安装个人防火墙软件，防止其从互联网上下载其它的病毒。

出处：瑞星公司

小心“征途大盗”网游盗号木马

　　“征途大盗ar”（Troj.PSWZhengTu.ar）木马病毒，盗取网络游戏“征途”帐号的密码信息，尝试连接特定网站进行病毒自动更新。

　　“自由”（Hack.Freedem.a）木马病毒，开放指定端口供黑客控制受感染主机。

　　一、“征途大盗ar”（Troj.PSWZhengTu.ar）威胁级别：

　　病毒特征：这是一个在WINDOWS平台下专门用于盗取网络游戏“征途”的帐号、密码等信息的木马。发作症状：病毒运行后将自身复制到特定文件夹下，释放盗号主程序，将其运行后监视收集用户游戏信息；同时，病毒会监视用户用IE打开“征途”官方网站以记录游戏等相关信息。当网络资源可用时，病毒会尝试连接特定的网站进行病毒自动更新。该病毒主要通过网络欺骗或软件捆绑方式进行传播。

　　二、“自由”（Hack.Freedem.a）威胁级别：

　　病毒特征：这是一个开放指定端口的后门病毒。

　　发作症状：病毒运行后，把自身拷贝到system32目录中并以freedom.exe命名，同时该病毒创建特殊服务使病毒能随Windows的启动而启动。该病毒会开放一个由黑客指定的端口供黑客连接，一旦黑客连接受感染主机将被完全控制。黑客可通过此后门取得受感染机器上的重要信息，如登录用户名、密码、机器名、IP等等，还可打开Telnet与远程桌面服务。

　　反病毒工程师建议：

　　1.请您不要轻易运行从Internet下载后未经杀毒软件处理的文件，强烈建议您先用最新病毒库的毒霸进行扫描，然后决定是否运行。

　　2.当操纵者控制用户电脑时，就可直接导致用户的信息被泄露，为了您系统和个人信息的安全，专家建议用户在打开一个陌生文件时，请用最新病毒库的杀软进行扫描。

互联网袭击有72%受趋于经济利益

　　欧洲安全厂商熊猫软件实验室2006年第三季度的报告显示，有72%的互联网袭击是被经济利益驱动的。

　　报告称，2006年没有爆发大规模的电脑病毒灾难，纵观整个2006年，最常被检测到的病毒列表几乎没有发生变化。

　　不过这并不意味着病毒的风险降低了，事实上，病毒的攻击比过去更加低调，更有针对性，因为它们的目标更多是为了窃取金融信息，而不仅仅是毫无理由地攻击用户的电脑。

熊猫软件发布2006年十大最常被检测到的病毒

　　2006年没有爆发大规模的电脑病毒灾难，纵观整个2006年，最常被检测到的病毒列表几乎没有发生变化。不过这并不意味着病毒的风险降低了，事实上，病毒的攻击比过去更加低调，更有针对性，因为它们的目标更多是为了窃取金融信息而不仅仅是毫无理由地攻击用户的电脑。熊猫实验室2006年第三季度的报告显示，有72%的互联网袭击是被经济利益驱动的。

　　熊猫软件在该报告中发布了2006年十大最常被检测到的病毒：

　　1、Sdbot.ftp。这个病毒于2004年首次出现，6个月后占据了熊猫软件病毒检测榜的第一位，此后便一直高居榜首。它有很多变种，都可以攻击随机的IP地址，发现系统的弱点，然后通过FTP下载病毒的副本。2006年2.62%的病毒感染都是由Sdbot.ftp造成的。

　　2、位居第二的是Netsky.P，它通过电子邮件和P2P文件共享来进行传播，引起了1.22%的感染。

　　3、第三位的是Exploit/Metafile，这个恶意代码引起了1%的感染，能够发现Windows 2003/XP/2000中GDI32.DLL的弱点，如果电脑易受攻击，源文件将执行代码，下载并运行间谍软件。

　　4、Tearec.A位居第四，它通过电子邮件和网络传播，能够使反病毒软件失效。

　　5、第五位是特洛伊木马Q.host.gen Trojan，它引起了0.76%的计算机感染。

　　其余五大病毒为：盗取Windows系统中密码的后门病毒Torpig.A；终止包括安全软件在内的许多程序的Sober.AH.worm!CME-681；影响带有exe或scr扩展名的PE文件的Parite.B；Gaobot蠕虫家族的变种Gaobot.gen；臭名昭著的Bagle家族的Bagle.pwdzip变种。

　　该报告还揭示了其它一些结论：越来越多的黑客在非常短的时间内发布同一类型病毒的不同变种，以增加电脑被感染的几率，Q.host、Gaobot、Bagle就是典型案例，榜单上位居第一的Sdbot在过去的几个月也同样出现了更多的变种；2005年榜单上的前9大病毒分别都引起了超过1%的感染，而2006年只有前三大病毒造成的感染达到了全部感染数量的1%，这意味着单个病毒的攻击减少了，但同时病毒的总量增加了。

“新年快乐”电子邮件蠕虫高居病毒榜首

　　据国外媒体最新报道，反病毒企业Sophos宣称，名为“新年快乐”的电子邮件蠕虫高居十二月最广泛传播的病毒榜首，将病毒霸主Stration、Netsky等甩在身后。

　　Sophos将该隐藏于“新年快乐”恶意电子邮件中的蠕虫病毒命名为“Dref”家族的变种，其他杀毒软件公司对其各自有不同的称呼，比如赛门铁克称其为“Mixor.q”，卡巴斯基称其为“Tibs”。

　　Sophos高级安全顾问Carole Theriault在声明中称，Dref在过去的几天中已广泛传播，人们在假期后开始处理待办事项，造成意外打开恶意附件的可能性大大增长，在12月Dref仅仅传播了两天之后，它便奇迹般地跃居榜首。根据Sophos调查的数据显示，截至12月31日，“新年快乐”蠕虫病毒已占所有感染病毒邮件的93.7%。

　　在整个12月，Dref（或Mixor，或Tibs）占恶意电子邮件病毒的35.2%，Netsky占22.2%， Mytob占10.7%，而始于10月的Stration则被Dref挤出了前三甲，从11月的33.3%戏剧般地变成了现在的7.8%。

　　以色列电子邮件安全公司Commtouch称，截至12月29日，Dref（或Mixor，或Tibs）已经感染了全球12%的电子邮件。