文章大纲：

• 1、Trojan.win32.generic.12668913 是什么病毒
• 2、特洛伊木马病毒
• 3、木马大全，我想要有关木马病毒的各个名称？

Trojan.win32.generic.12668913 是什么病毒

互联网上的“热门”木马病毒排名。

下表显示了中国地区在2009年1月期间，互联网上木马病毒的活跃情况。表中所列的都是最常遇到的恶意程序。这些恶意程序会在用户上网的同时给用户带来危害。

（下表中的数据根据卡巴斯基产品检测情况统计得出）

Name of Malware %

1. Trojan-GameThief.Win32.Magania.gen 13.41

2. Trojan-GameThief.Win32.OnLineGames.ufmu 6.54

3. Exploit.Win32.IMG-WMF.fx 5.50

4. Worm.Win32.Downloader.yq 3.22

5. Worm.Win32.Downloader.yv 3.13

6. Trojan-Dropper.Win32.MultiJoiner.13.y 2.51

7. Worm.Win32.Downloader.yw 2.43

8. HEUR:Trojan.Win32.Generic 2.09

9. HEUR:Trojan-Downloader.Win32.Generic 2.07

10. Heur.Win32.Trojan.Generic 1.97

11. not-a-virus:AdWare.Win32.BHO.fay 1.90

12. Worm.Win32.Downloader.zd 1.52

13. Trojan-GameThief.Win32.Agent.w 1.42

14. HEUR:Trojan.Win32.Invader 1.38

15. Trojan-GameThief.Win32.OnLineGames.bknq 1.34

16. Trojan-GameThief.Win32.OnLineGames.ubok 1.26

17. HEUR:Trojan.Win32.StartPage 1.22

18. Trojan-Downloader.Win32.Small.dfl 1.18

19. Trojan.Win32.Pakes.lmb 1.09

20. Trojan-GameThief.Win32.OnLineGames.ubga 1.01

排名之一的恶意程序是恶意程序家族：Trojan-GameThief.Win32.Magania.gen。11月时它位居排行榜的第二位，这个月它又增加了半个百分点，成为了头号“恶霸”。

这个恶意程序家族是一类流行的恶意程序——Trojan-GameThief的代表。从木马的名称可以看出，它们会窃取用户的 *** 游戏账号密码等信息。2009年1月份，此类木马独占了所有恶意程序总量的25%。而在排行榜中位列第2、13、15、16以及第20位的盗号木马也是此类恶意程序的代表。值得注意的是，此类盗号木马的信息盗窃行为都是针对中国流行 *** 游戏用户的。所以，喜爱 *** 游戏的计算机用户要格外注意反病毒安全的问题。

Exploit.Win32.IMG-WMF.fx，这个在上个月的排行榜中位居第三位的恶意程序，这次以5.5%的“流行度”再次中取了排行榜的探花。在上月的报告中我们已经介绍了这个恶意程序。这里，卡巴斯基实验室再一次地提醒用户们一定要针对此漏洞进行更新。关于此漏洞的更详细的信息可以在这里找到： 。同时需要注意的是，这个exploit有许多变种，如何利用漏洞那就看病毒作者的想象力和创造力了。Exploit.Win32.IMG-WMF.fx这个变种会在系统中安装rootkit。

在本月的报告中还有一类需要注意的恶意程序家族：Worm.Win32.Downloader。此家族的不同代表占据了排行榜的第4、5、7和12 位。尽管这种恶意程序最初出现在大约一年以前，但它们只在这个月才“榜上有名”，而且一下子就占到了10%左右的百分比。而所有此家族的代表都发源于同一恶意程序，不同变种间的区别只在于下载链接地址和恶意程序在系统中的文件名的不同。它们的共同点就是会在系统目录下生成随机名的dll文件，这个dll会被注入到系统进程中。

此外，还要指出的是，大约30%的恶意程序都是用启发式分析检测到的。对于用户来说，这就意味着卡巴斯基实验室的反病毒软件可以检测到大多数的未知恶意程序。

2、 *** 攻击排行:

大多数用户对于 *** 安全问题都不太了解，这是可以理解的，因为甚至很多从事与计算机相关职业的、有经验的用户也都很难了解安全问题的所有细节。也许，会有一些用户觉得这份报告有些地方非常难于理解。虽然我们会尽量使它简明易懂，但如果你仍有不明白的地方，请查阅相关资料。

现在的计算机安全世界纷繁复杂。普通用户的计算机总是面临着大量的攻击与威胁。要对抗这种多样性的威胁，当今的反病毒软件自身应该包含多种模块，以便在不同层面为用户提供保护。现如今， *** 连接已经是工作中不可或缺的必要条件，因而保护计算机系统免受 *** 攻击是至关重要的。下面就让我们来看一下在 2009年1月期间最为常见的 *** 攻击。

Name of Attack Number of Atttack

1. DoS.Generic.SYNFlood 4759410

2. Intrusion.Win.MSSQL.worm.Helkern 964297

3. Intrusion.Win.NETAPI.buffer-overflow.exploit 152898

4. Scan.Generic.UDP 101639

5. Intrusion.Generic.TCP.Flags.Bad.Combine.attack 30354

6. Intrusion.Win.DCOM.exploit 25565

7. Intrusion.Win.LSASS.exploit 5203

8. Scan.Generic.TCP 3030

9. Intrusion.Win.HTTPD.GET.buffer-overflow.exploit 1584

10. Intrusion.Win.Messenger.exploit 1525

11. DoS.Win.IGMP.Host-Membership-Query.exploit 1066

12. Intrusion.Win.LSASS.ASN1-kill-bill.exploit 1007

13. Intrusion.Unix.Fenc.buffer-overflow.exploit 391

14. DoS.Generic.ICMPFlood 357

15. Intrusion.Win.MediaPlayer.ASX.buffer-overflow.exploit 291

16. Intrusion.Win.W3Filer.buffer-overflow.exploit 169

17. Intrusion.Win.EasyAddressWebServer.format-string.exploit 138

18. Intrusion.Win.MSSQL.preauth.buffer-overflow.exploit 110

19. Intrusion.Win.WINS.heap-overflow.exploit 77

20. Intrusion.Unix.AtpHttpd.buffer-overflow.exploit 50

占据头名位置的以洪水般发送各种syn数据包的DoS攻击。这类攻击会导致 *** 瘫痪。如果具有某种特征的数据包多得超过一定数量就会发生此类报告。有时，某些正常程序也会有类似的 *** 行为，这时则需要进一步分析原因。

第二位是Intrusion.Win.MSSQL.worm.Helkern攻击。这种攻击针对的是MS SQL的1434端口上的服务。蠕虫病毒Slammer也会进行此类攻击。

第三位是Intrusion.Win.NETAPI.buffer-overflow.exploit。

一般来说，收到这种提示时说明在局域网中存在着恶意程序，比如说蠕虫病毒Net-Worm.Win32.Kido。这种蠕虫利用了微软的 MS08-067漏洞。尽管针对这个漏洞的更新已经发布了很久，但还是有越来越多的用户机器被这种蠕虫感染。卡巴斯基实验室建议大家安装微软的更新补丁。这种蠕虫会作为服务启动，并使自己在磁盘上隐藏起来。所以，用户很难在机器上找到这个病毒。而要在磁盘上找到这个二进制文件就必须从其它介质上启动系统，比如从光盘启动系统并进行扫描。

这个例子很好地说明了在复杂的安全问题下卡巴斯基的反病毒产品的优势。蠕虫病毒有时可以隐藏起来不被反病毒扫描器扫描到，但是它的 *** 活动却可以被 *** 模块检测到。正因为如此，卡巴斯基可以成功地对抗这种恶意程序。

另一种 *** 攻击Scan.Generic.UDP并不能明确地指示出 *** 中存在哪种恶意程序。对这种 *** 活动的产生原因还需要更详细的分析。需要注意被扫描的端口、攻击源IP地址以及攻击的间隔。也可能这只是一次性的扫描，也不用太过于不安。但如果这种攻击是周期反复性的，那就要引起特别的注意并采取措施，不仅要研究扫描端口列表，查看并关闭未使用的服务，还要及时地为系统打补丁。端口扫描都是 *** 攻击的之一步，因而需要提前做好准备。

位居第五的 *** 攻击是Intrusion.Generic.TCP.Flags.Bad.Combine.attack。一般来说，如果在 *** 数据包中使用了不正确的标志组合都会给出这种提示。这种不正确的标志组合是一种异常情况，需要进一步详细地分析原因。有可能只是虚惊一场，但也有很大概率是恶意行为。

一般而言，所有这些攻击可以分为：扫描攻击、拒绝服务式攻击和exploit攻击。如果系统中没有启动含有漏洞的服务，那么扫描攻击不会产生什么危害。而拒绝服务式攻击和exploit攻击通常都是由恶意程序产生的，值得引起更多的关注。

我们得到的另外一个结论是，大多数攻击都是针对Win32平台的，在排行榜里只有两种攻击是针对Unix的，即 Intrusion.Unix.Fenc.buffer-overflow.exploit和 Intrusion.Unix.AtpHttpd.buffer-overflow.exploit.当然，这并不能用来证明哪种平台更安全，这只是因为大多数桌面用户使用的都是Win32平台。

我们还要再次提醒您：尽管卡巴斯基的IDS入侵检测系统提示您有人试图攻击您的计算机并被成功阻止，您也要为您的软件安装好最新的更新程序，并及时更新病毒库。

3、恶意程序排行：

根据卡巴斯基安全 *** （KSN）2009年1月份收集的数据，我们整理并列出两个恶意程序排行榜，每个榜单罗列出了活跃度排名前20 位的恶意程序。

之一个排行榜是根据卡巴斯基实验室2009的反病毒产品收集到的数据整理出的排名前20位的恶意程序榜单，包含了在用户计算机上发现的恶意程序、广告软件以及其他潜在的不良程序的详细信息。

排名 排名变化 恶意程序名称

1. 0 Virus.Win32.Sality.aa

2. 0 Packed.Win32.Krap.b

3. 1 Worm.Win32.AutoRun.dui

4. -1 Trojan-Downloader.Win32.VB.eql

5. 3 Trojan.Win32.Autoit.ci

6. 0 Trojan-Downloader.WMA.GetCodec.c

7. 2 Packed.Win32.Black.a

8. -1 Virus.Win32.Alman.b

9. 5 Trojan.Win32.Obfuscated.gen

10. 10 Trojan-Downloader.WMA.GetCodec.r

11. 新上榜 Exploit. *** .Agent.aak

12. -1 Worm.Win32.Mabezat.b

13. -3 Worm.Win32.AutoIt.ar

14. 1 Email-Worm.Win32.Brontok.q

15. 新上榜 Virus.Win32.Sality.z

16. 新上榜 Net-Worm.Win32.Kido.ih

17. 重新上榜 Trojan-Downloader.WMA.Wimad.n

18. -2 Virus.Win32.VB.bu

19. -2 Trojan.Win32.Agent.abt

20. 新上榜 Worm.Win32.AutoRun.vnq

排行榜一

2009年的第1个月，以上榜单的排名没有大的变化。只是Exploit. *** .Agent.aak取代了于去年12月上榜的 Trojan.HTML.Agent.ai和Trojan-Downloader. *** .Agent.czm。而AutoRun.eee worm则从本月的榜单中消失，取而代之的是Worm.Win32.AutoRun.vnq。这一点并不奇怪，因为对于此类恶意程序，频繁的更改正是其特点。

值得注意的是，去年12月消失于榜单中的Trojan-Downloader.WMA.Wimad.n，本月又重新上榜。这是由于榜单中的三个非典型的恶意下载程序的大范围传播以及用户对于多媒体文件的信任态度。Trojan-Downloader.WMA.GetCodec.r在榜单中急速上升，其排名已经位于第十位，恰恰证实了我们在上个月的前20名恶意程序报告中提到的对恶意程序传播方式的判断，即恶意程序利用点对点 *** 以及多媒体文件下载程序进行传播的方式是非常有效的。

同时Sality.aa仍高居榜首，而且Sality.z也加入到前20名，使得Sality家族成为最近转播最为广泛，最为危险的恶意程序。

而利用微软Windows重大漏洞进行传播的臭名昭著的Kido家族的 *** 蠕虫仍然出现在榜单上。但考虑到当前的蠕虫感染疫情，该蠕虫的传播方式以及有潜在威胁的计算机的数量，kido蠕虫的变种出现在本月的榜单上并不奇怪。

木马– 35%

病毒– 50%

恶意程序– 15%

之一个排行榜中的所有恶意程序、广告软件以及其他潜在的不良程序都可以根据我们检测到的威胁类别进行分类。总体来说，自我复制程序的数量再一次超过了木马程序。

1月份，卡巴斯基实验室在用户计算机上共检测到46014中恶意程序、广告软件以及其他潜在的不良程序。值得注意的是前一段的假期期间，“自然状态”发现的威胁数量并没有下降，相反在12月于“自然状态”中截获的样本数量（38190）要比平时还多7800个。

下面，让我们一起来关注第二个排行榜。在 第二个排行榜中，排名在前20位的是在用户的计算机中发现的最容易感染文件的恶意程序。感染文件的恶意程序在该榜单中占大多数。

排名 排名变化 恶意程序名称

1. 0 Virus.Win32.Sality.aa

2. 0 Worm.Win32.Mabezat.b

3. 2 Net-Worm.Win32.Nimda

4. -1 Virus.Win32.Xorer.du

5. 1 Virus.Win32.Alman.b

6. 3 Virus.Win32.Sality.z

7. 0 Virus.Win32.Parite.b

8. 2 Virus.Win32.Virut.q

9. -5 Trojan-Downloader.HTML.Agent.ml

10. -2 Virus.Win32.Virut.n

11. 1 Email-Worm.Win32.Runouce.b

12. 1 Worm.Win32.Otwycal.g

13. 1 P2P-Worm.Win32.Bacteraloh.h

14. 4 Virus.Win32.Hidrag.a

15. 5 Virus.Win32.Small.l

16. -5 Virus.Win32.Parite.a

17. 重新上榜 Worm.Win32.Fujack.bd

18. 新上榜 P2P-Worm.Win32.Deecee.a

19. -4 Trojan.Win32.Obfuscated.gen

20. 新上榜 Virus.Win32.Sality.y

排行榜二

Sality.z是Virus.Win32.Sality家族中最新进入前20名榜单的恶意程序。Sality.y出现在第二个榜单中，进一步说明了该自我复制程序家族的高活跃性。有趣的是第二个排行榜中新上榜的P2P-Worm.Win32.Deecee.a.。该蠕虫通过DC++点对点 *** 传播，能够下载其他恶意程序。它能够在这张榜单中占有一席之地，并不是因为其感染的计算机数量多，而是由于其在每台感染的计算机上的备份数量。在该蠕虫感染用户计算机时，它会复制自己很多次，一旦感染，该蠕虫会公开复制自己。而其自我复制产生的可执行文件都会遵循一定的模式：其前缀为“(CRACK)”, “(PATCH)”，文件名为流行的应用软件名称如“ADOBE ILLUSTRATOR (All Versions)”, “GTA SAN ANDREAS ACTION 1 DVD”等。而于去年11月重回榜单的Worm.VBS.Headtail.a此次又消失了，延续了其在2008年年底的不稳定表现。

特洛伊木马病毒

病毒名称：

Trojan-PSW.Win32.OnLineGames.jbo

病毒类型：

木马类

文件

MD5：

1B414FF11AD77F8D2C1740AECFDD5E0A

公开范围：

完全公开

危害等级：

3

文件长度：

17,408

字节

感染系统：

Windows98以上版本

工具：

Microsoft

Visual

C++

6.0

加壳类型：无

二、病毒描述：

该病毒为木马类，病毒运行后，复制自身到系统目录下，病毒文件，以批处理文件删除自身。

添加启动项，以达到随机启动的目的。该病毒由于已出现大量的生成机，因此生成一个同种病毒特别容易，这也使其大量的被生成，再加互联网的快速传播，使其在中国大陆已形成了一个木马分支――网游盗号木马类；可以盗取用户帐号

号与密码。

三、行为分析：

1、

文件运行后会释放以下文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

2、

新建注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

描述：添加启动项，以达到随机启动的目的

3、释放cmdbcs.dll进驻内存，尝试插入下列进程中：

EXPLORER.EXE

IEXPLORER.EXE

应用程序进程

4、cmdbcs.dll插入进程后可以访问该进程资源，记录该进程中的敏感资料；例如帐号与密码

5、检测窗口标题为AVP的窗体，瑞星的警告窗体，如果检测到则关闭。当病毒添加注册表启动项时，如果弹出瑞星注册表监控，则自动允许并关闭监控窗体。具有反查杀能力。

注释：

%Windir%

WINDODWS所在目录

%DriveLetter%

逻辑驱动器根目录

%ProgramFiles%系统程序默认安装目录

%HomeDrive%

当前启动系统所在分区

%Documents

and

Settings%

当前用户文档根目录

%Temp%

当前用户TEMP缓存变量；路径为：

%Documents

and

Settings%\当前用户\Local

Settings\Temp

%System32%

是一个可变路径；

病毒通过查询操作系统来决定当前System32文件夹的位置；

Windows2000/NT中默认的安装路径是　C:\Winnt\System32；

Windows95/98/Me中默认的安装路径是　C:\Windows\System；

WindowsXP中默认的安装路径是　C:\Windows\System32。

四、

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)，请到安天网站下载：

。

2、手工清除请按照行为

分析除对应文件，恢复相关系统设置。推荐使用ATool（安天安全管理工具），ATool下载地址:

或

。

(1)

使用安天木马防线或ATool中的“进程管理”关闭病毒进程

强行卸载cmdbcs.dll

(2)

强行删除病毒文件

%WINDIR%\cmdbcs.exe

%system32%\cmdbcs.dll

(3)

恢复病毒修改的注册表项目，删除病毒添加的注册表项

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run]

注册表值："

cmdbcs

"

类型：

REG_SZ

值：

"

C:\WINDOWS\cmdbcs.exe

"

木马大全，我想要有关木马病毒的各个名称？

1、系统病毒

系统病毒的前缀为：Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件，并通过这些文件进行传播。如CIH病毒。

2、蠕虫病毒

蠕虫病毒的前缀是：Worm。这种病毒的公有特性是通过 *** 或者系统漏洞进行传播，很大部分的蠕虫病毒都有向外发送带毒邮件，阻塞 *** 的特性。比如冲击波（阻塞 *** ），小邮差（发带毒邮件） 等。

3、木马病毒、黑客病毒

木马病毒其前缀是：Trojan，黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过 *** 或者系统漏洞进入用户的系统并隐藏，然后向外界泄露用户的信息，而黑客病毒则有一个可视的界面，能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的，即木马病毒负责侵入用户的电脑，而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如 *** 消息尾巴木马 Trojan.qq3344 ，还有大家可能遇见比较多的针对 *** 游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点，病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能（这些字母一般都为“密码”的英文“password”的缩写）一些黑客程序如： *** 枭雄（Hack.Nether.Client）等。

4、脚本病毒

脚本病毒的前缀是：Script。脚本病毒的公有特性是使用脚本语言编写，通过网页进行的传播的病毒，如红色代码（Script.Redlof）。脚本病毒还会有如下前缀：VBS、 *** （表明是何种脚本编写的），如欢乐时光（VBS.Happytime）、十四日（Js.Fortnight.c.s）等。

建议你使用腾讯电脑管家来进行病毒查杀

因为腾讯电脑管家是4+1杀毒引擎，管家反病毒引擎、金山云查杀引擎、小红伞本地查杀引擎和管家云引擎，新版本在此基础上启用了管家系统修复引擎，重点加强了“云安全”平台的建设和自研引擎的研发能力，也属国内首例采用“4+1”核“芯”杀毒引擎架构的。 所以杀毒能力是很强悍的，可以信赖！