2002年度最恶劣十大病毒出炉“求职信”名列榜首

庄周

                          　　美国东部时间12月5日(北京时间12月6日)消息，据Sophos反病毒公司12月4日发布的统计数据显示，“求职信”是2002年发作最为频繁的头号病毒。<br><br>　　“求职信”病毒最早出现于2001年底，占2002年内所出现病毒总数的24%。该病毒还有相继出现有几个变种，专门攻击微软公司Outlook及Outlook Express的弱点，用户只要打开带有这种病毒的电子邮件甚至预览一下携带这种病毒的电子邮件，就能导致该病毒的发作。“求职信”有时还会嵌入被W32.ElKern.3326病毒感染的机器上。<br><br>　　Sophos公司的技术顾问克里斯.赖特表示，“求职信”病毒具有很强的生存能力，初次发作之后，若不及时杀除，它就能在未来一年多时间里继续感染新的用户。赖特指出，“求职信”之所以能在2002年如此猖獗，很大程度上并不是因为该病毒的设计高明，而更大程度上是因为用户没有及时升级其杀毒软件所致。<br><br>　　在Sophos公司的2002年度10大病毒排行榜上，排名仅跟“求职信”之后的是“怪物”病毒，占本年度所出现病毒总数的17%。<br><br>　　2002年最恶劣的前10名病毒名单如下。 <br><br>　　1. W32/Klez (Klez worm) 24.1% <br><br>　　2. W32/Bugbear (Bugbear worm) 17.5% <br><br>　　3. W32/Badtrans (Badtrans worm) 14.6%<br><br>　　 4. W32/Elkern (Elkern virus) 4.6% <br><br>　　5. W32/Magistr (Magistr worm) 4.2% <br><br>　　6. W32/MyParty (MyParty worm) 2.2% <br><br>　　7. W32/Sircam (Sircam worm) 2.0% <br><br>　　8. W32/Yaha (Yaha worm) 1.9% <br><br>　　9. W32/Frethem-Fam (Frethem-Fam worm) 1.4% <br><br>　　10. W32/Nimda (Nimda worm) 1.2% <br><br>　　其他 26.3% <br><br>　　Sophos指出，2002年计算机病毒发作出现的一个新趋势是黑客大量运用“伪造寄件人”手段，病毒攻击者用自己携带病毒的电子邮件地址将合法的电子邮件地址替换掉。收件用户只要打开这种寄件人地址被篡改了的电子邮件，其电脑就会感染上病毒。Sophos警告称，电脑黑客的这一伎俩在2003年可能会继续使用，所以用户不要心存好奇，随意拷贝音乐图片、电影明星或著名政治家的照片，因为这些往往以附件方式存在的图片很可能就是携带病毒的诱饵。(新浪科技 清晨）<br>                          

fire

                          W32/Surnova-B <br> <br><br><br>Genaue Bezeichnung   W32/Surnova-B   <br>Aliasnamen   Worm.P2P.Surnova    <br>Typ   Wurm   <br>Erstes Auftreten   30.7.2002   <br>Verbreitung      <br>Wirkung/Schaden   Die Malware erzeugt eine Textdatei im Windows-Ordner, deren Name aus zuf&amp;auml;llig generierten Ziffern besteht. Die Datei besitzt folgenden Inhalt: &quot;W32.Supernova - Ban religion Patch the leaks or the ship will sink&quot;. Sophos soll bereits mehrere Meldungen über diesen Wurm &quot;in the wild&quot; erhalten haben. Der Wurm kopiert sich unter einem der folgenden Namen in den Windows-Ordner: &quot;Alles-ist-vorbei.exe&quot;, &quot;Desktop-shooting.exe&quot;, &quot;Hello-Kitty.exe&quot;, &quot;BigMac.exe&quot;, &quot;Cheese-Burger.exe&quot;, &quot;Blaargh.exe&quot;. Au&amp;szlig;erdem nimmt der Wurm diesen Eintrag in der Windows-Registrierdatenbank vor: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Supernova . Dadurch wird der Wurm bei jedem Neustart von Windows mitgestartet. Wenn Sie den Wurm das erste Mal starten, erscheint diese Meldung: &quot;Application attempted to read memory at 0xFFFFFFFFh Terminating application&quot;. Der Wurm sucht nach diesem HKLM\Software\KaZaA\LocalContent-Eintrag in der Registry. Dabei handelt es sich um den Ordner, der im Kazaa-Netzwerk zum Austausch von Dateien freigegeben ist. Alternativ nutzt er folgenden Ordner: C:\Windows\Media. Dorthin kopiert sich der virtuelle Sch&amp;auml;dling 38 Mal unter verschiedenen, verhei&amp;szlig;ungsvoll klingenden Namen. L&amp;auml;dt sich ein anderer Anwender eine dieser Dateien auf seinen Rechner, infiziert er seinen PC mit dem Wurm. Alternativ kann sich der Sch&amp;auml;dling auch über den MSN Instant Messenger verbreiten. W32/Surnova-B versucht sich hierzu an die Kontaktadressen im Messenger-Adressbuch zu versenden. Der Wurm kommt dann mit folgenden Meldungen &quot;Hehe, check this out :-)&quot;, &quot;Funny, check it out (h)&quot;, &quot;LOL&#33;&#33; See this <!--emo&--><img src='http://bbs.kaiyuan.info/html/emoticons/biggrin.gif' border='0' valign='absmiddle' alt='biggrin.gif'><!--endemo-->&quot;, &quot;LOL&#33;&#33; Check this out <!--emo&--><img src='http://bbs.kaiyuan.info/html/emoticons/smile.gif' border='0' valign='absmiddle' alt='smile.gif'><!--endemo-->&quot;, &quot;Hehe, this is fun :-)&quot; zu den Adressaten.    <br>Infektionsweg   &amp;Uuml;ber das Kazaa-Netzwerk und über den Windows Messenger.    <br>Besonderheiten      <br>Was Sie tun k&amp;ouml;nnen   Virenscanner aktualisieren   <br> <br>                          

fire

                          W32/KWBot-A <br> <br><br><br>Genaue Bezeichnung   W32.Kwbot.Worm   <br>Aliasnamen   Worm.Win32.SdBot und W32/Moocow-A   <br>Typ   P2P-Wurm   <br>Erstes Auftreten   8. Juli 2002   <br>Verbreitung   Der Sch&amp;auml;dling W32.Kwbot.Worm tarnt sich als Film-, Spiel- oder Software-Datei, die zum Tausch angeboten wird. Sophos hat nach eigenen Angaben bisher mehrere Meldungen von dem Wurm &quot;in the wild&quot; erhalten. Allerdings gibt es von Sophos keine Angaben zu Sch&amp;auml;den, die KWBot anrichtet.    <br>Wirkung/Schaden   KWBot kopiert sich nach dem Herunterladen und Starten der Datei als explorer32.exe in den Windows-Systemordner. Au&amp;szlig;erdem erstellt er zwei Registrierungseintr&amp;auml;ge erstellt, die dafür sorgen sollen, dass der Wurm bei jedem Start ausgeführt wird.    <br>Infektionsweg   Der Wurm bietet sich im Kazaa-Netzwerk unter verschiedenen Namen wie &quot;Star Wars Episode 2 - Attack of the Clones VCD CD1.exe&quot;, &quot;Spiderman&quot;, &quot;Norton Utilities 2002.exe&quot;, &quot;Grand Theft Auto 3 CD1 ISO.exe&quot; oder &quot;100 XXX Passwords (verified 3-24-02).exe&quot; an, um auf die Festplatte des Anwenders zu gelangen.    <br> <br>