近日，国内最大的计算机反病毒软件供应商江民科技发布了2006年上半年十大病毒排行并公布了十大病毒的防治办法。

　　十大病毒中，“灰鸽子”木马及其变种以其广泛的传播性和极高的危害特征名列十大病毒之首，成为2006年上半年名副其实的“毒王”。以窃取“传奇”等网络游戏账号为目的“传奇木马”名列第二，而以制造“僵尸网络”的BOT类病毒“高波”和“瑞波”并列第三名。此外，攻击微软IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本CHM木马以及攻击微软2006年首个0day漏洞（MS06-001）WMF木马名列十大病毒第四、第五位，通过QQ传播的盗窃“传奇”号码的“QQ大盗”病毒名列第六，同时具有文件型病毒、蠕虫病毒、病毒下载器等类病毒的特点的“维京”病毒名列第七，以盗取QQ或网络游戏的帐号密码为目的“传华木马”名列十大病毒之八，窃取工行网上银行的“工行钓鱼木马”以及国内首例敲诈用户钱财的“敲诈者”病毒分别名列十大病毒第九、第十位。
 
 
 

　　据江民科技反病毒中心统计，从2006年1月1日到2006年6月28日，反病毒中心共截获新病毒33358种，江民KV病毒预警中心显示，1至6月全国共有7322453台计算机感染了病毒，监测发现新老病毒发作次数总计178931441次（包括同台电脑同一病毒感染多种文件数）。

　　2006年上半年十大病毒防治办法如下：

　　一、灰鸽子

　　Backdoor/Huigezi.**“灰鸽子”是一个未经授权远程访问用户计算机的后门。以“灰鸽子”变种cm为例，该变种运行后，会自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息，例如用户拨号上网口令，URL密码等。利用挂钩API函数隐藏自我,防止被查杀。另外，“灰鸽子”变种cm可下载并执行特定文件，发送用户机密信息给黑客等。

　　解决办法：

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、手工清除：运行REGEDIT命令打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001Services\GrayPigeonServer ，将该键值删除，然后进入 X:\windows(X:代表系统盘),设置显示所有文件（或显示隐藏文件），找到G_server.exe和G_server.dll以及G_server_hook.dll三个文件，正常模式下，无法删除这三个文件，通过重启电脑到安全模式下或使用第三方强力删除工具将三个文件删除。江民未知病毒检测有效清除病毒文件。

　　二、传奇窃贼

　　传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、手工清除：

　　在系统文件夹里面找到logo1_.exek文件并将其删除。

    三、高波和瑞波

　　高波： Backdoor/Agobot.** “高波”主要利用网络弱密码共享进行传播的后门程序。该后门程序还可利用微软DCOM RPC漏洞提升权限，允许黑客利用IRC通道远程进入用户计算机。该程序运行后，程序文件自我复制到系统目录下，并修改注册表，以实现程序的开机自启。开启黑客指定的TCP端口。连接黑客指定的IRC通道，侦听黑客指令。

　　瑞波：该病毒经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。
 
 
 
中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵。

　　高波：

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、高波手工清除：打好微软MS03-007、MS03-026、MS04-011、MS04-031补丁，在系统目录下找到病毒文件名为Medman.exe，并将其删除。

　　瑞波手工清除：在系统目录下找到病毒文件msxml32.exe，在注册表中找到键值msxml32.exe，将其删除。打上微软MS03-007、MS03-026、MS04-011、MS04-031四个漏洞补丁。

　　四、CHM木马：

　　CHM木马利用IE浏览器MHTML跨安全区脚本执行漏洞(MS03-014)的恶意网页脚本，

　　自从2003年以来，一直是国内最为流行的种植网页木马的恶意代码类型，

　　2005年下半年，泛滥趋势稍有减弱，2006年上半年的感染数量仍然很大，

　　没有短期内消亡的迹象。

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、手工防治：打上微软MS03-014和MS04-023系统漏洞补丁，找到以下病毒和配置文件并将其删除：

　　%SystemDir%\dllcache\pk.bin, 3680字节，病毒配置文件

　　%SystemDir%\dllcache\phantom.exe, 393216字节，病毒程序

　　%SystemDir%\dllcache\kw.dat, 803字节，病毒配置文件

　　%SystemDir%\dllcache\phantomhk.dll, 8704字节，病毒模块

　　%SystemDir%\dllcache\phantomi.dll, 215040字节，病毒模块

　　%SystemDir%\dllcache\phantomwb.dll, 40960字节，病毒模块

　　在注册表中定位到键值，并将该键值删除。

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"Phantom" = %SystemDir%\dllcache\phantom.exe

　　五、wmf恶意文件

　　Exploit.MsWMF.a“WMF漏洞利用者”变种a是一个利用微软MS06-001漏洞进行传播的木马。如果用户使用未打补丁的Windows系统，在上网浏览、本地打开或预览恶意WMF文件时，自动下载网络上的其它病毒文件，侦听黑客指令，对用户计算机进行各种攻击。

　　1、自动清除：断开网络，升级杀毒软件对电脑进行全盘扫描。

　　2、手工防治：

　　下载安装微软ms06-001漏洞补丁，升级打开杀毒软件实时监控。

　　补丁下载地址：

　　http://www.microsoft.com/china/technet/Security/bulletin/ms06-001.mspx　　

[1] [2] 下一页