本文目录一览：

• 1、2008年电脑病毒、木马之王?
• 2、watchdog出错 在线求助
• 3、机器狗中毒会怎么样.黑客.网吧版本系统
• 4、求一部太空科幻电影
• 5、计算机病毒发生过什么事件

2008年电脑病毒、木马之王?

木马：

一、最活跃的"马贼"

木马名称：HB系列网游盗号者

木马类型：盗号木马

呈堂证供：这是一类盗取网游账号密码或装备的木马，是2008年流 毒最广、波及用户最多的恶意程序。它们具有高度的代码相似性，并且变种繁多，在运行后通常会释放一个名称为随机8位字母组合的exe和名称为随机八位字母 组合的dll文件，将自身属性设为隐藏的系统文件，并悄悄改写注册表项，从而随系统实现自启动。网游盗号者一旦运行，便把动态库注入到 Explorer.exe进程中，自动查找是否存在游戏进程，进而注入到游戏进程中，记录受害者输入的账号密码并发送到指定的信箱。运行完毕之后，它们还 会自我毁灭，逃避安全软件的查杀。

360全年累计查杀：1.62亿次，受害网民超过3000万

二、最蛮横的"马贼"

木马名称：AV终结者

木马类型：木马下载器

呈堂证供：AV终结者集各种最先进的病毒技术于一体，用户一旦中招，不仅所有杀毒软件和安全工具会被强行破坏，连各安全厂商的主页、安全类论坛都无法访 问，只要在网页中输入"病毒"等相关字样，浏览器随即被无情关闭，用户甚至根本无法进去操作系统的安全模式，能够彻底摧毁电脑的安全防御体系，再自动下载 数百种盗号木马、广告木马及风险程序。它的另一点蛮横之处在于，会在除系统盘的其它磁盘根目录创建可自动运行的exe程序和autorun.inf文件， 即便受害用户格式化后重装系统，只要双击其它盘符，它将死灰复燃。

360全年累计查杀：5300余万次，受害网民超过1000万

三、最狡猾的"马贼"

木马名称：磁碟机

木马类型：木马下载器

呈堂证供：这是一类十分低调隐蔽的木马，它千方百计隐藏自身的行踪，普通用户从表面看很难发现有中招的痕迹，除了感觉系统似乎变慢外无其它明显异常症 状。但它一点也不简单，通过十余种方式实现自我保护，比如利用关机回写技术，当用户关闭电脑时它把主程序体保存到[启动]文件夹中，实现开机自启动。系统 启动后再将[启动]文件夹中程序删除掉，既可隐蔽启动，又很难被用户发现。它还会感染系统盘外所有分区的EXE文件、RAR或ZIP压缩包中的文件等，并 在所有盘符生成autorun.inf和病毒程序文件体，在线更新和升级的速度飞快，并利用ARP欺骗去攻击局域网其它电脑。磁碟机同样会下载大量木马病 毒，用以窃取电脑中有价值的信息。

360全年累计查杀：2700余万次，受害网民超过500万

四、最善于协作的"马贼"

木马名称：蝗虫军团

木马类型：木马下载器

呈堂证供：这是一种首次采用群殴战术甚至是兵团作战的恶性木马下载器。它一旦执行，会在瞬间下载上百个木马，就象蝗灾来袭时那样铺天盖地，其中有的负责 强制关闭杀毒软件，有的负责阻拦用户登陆安全厂商的网站，还有的负责在用户电脑上恶意弹出广告，以"集群作战"的方式，从各个途径彻底破坏用户电脑安防体 系。最为可怕的是，该木马群具有"集体复活"的本领，在上百个子木马中，只要有一个被杀毒软件漏杀，就能使其他已经被清除的木马快速"复活"，因此普通杀 软很难将其一次性斩草除根，堪称"马贼"中的"连环马"。

360全年累计查杀：2100余万次，受害网民约为400万

五、最反客为主的"马贼"

木马名称：木马点击器

木马类型：Click木马

呈堂证供：它是随着网络广告的出现而出现的，在侵入用户电脑后，会根据木马编写者预先设定的网址，去点击网上的广告，如百度竞价排名、 GoogleAdSense等，让广告主支付更多的广告费，而木马犯罪团伙及其合作伙伴则会分享这些额外的"利润"，把用户的电脑演变为自己谋财的工具， 在近一年时间内，这类木马的数量呈现几何级数的增长，360安全中心共截获各类木马点击器达到200多万个。据统计，互联网广告"欺诈点击"占总点击率的 35％。

360全年累计查杀：1.33亿次，受害网民高达2000余万

六、最顽强的"马贼"

木马名称：机器狗

木马类型：木马下载器

呈堂证供：机器狗因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗"，该木马变种繁多，通过多种手段破坏流行安全软件，然后疯狂下载各种盗号 木马或黑客工具。它最顽强之处在于，能够通过底层技术穿透冰点、影子等还原系统软件，网吧等用户重启电脑后仍无法保护系统安全，使游戏账号面临失窃的巨大 风险。

360全年累计查杀：1.51亿次，受害网民达到3000万

七、最诡异的"马贼"

木马名称：留声机

木马类型：盗号木马

呈堂证供：如果您发现电脑音箱突然自动播放声音："大家好，欢迎回到……今天我们来聊聊关于健康的话题……"，千万不要认为这是错觉，您已经被"马贼 "缠上了。这时如果打开任务管理器，您会发现iexplore.exe正在运行，即便根本就没有用IE浏览器上网。如果手动关掉这个进程，一分钟之内它又 可以自动启动，而且每隔一两分钟就会重复播放声音。

360全年累计查杀：270万次，受害网民超过50万

八、最互动的"马贼"

木马名称：契约答题机

木马类型：BAT类木马

呈堂证供：这类木马通过BAT类恶意脚本实现，是一些涉世不深或童心未泯的木马制作者出于恶搞目的所作。它们通常在中招用户开机后显示了一个dos界面，示例内容如下：

你好，如果你现在关闭你的计算机那么他将永远无法启动！！！

请回答一下几个问题答的好那么恭喜你你的计算机平安了

如果答的不好对不起我要毁灭你的计算机

你擅长A动画还是G游戏请选择

c：/(用户填写)

然后是dos下新的界面，罗列五个问题

一旦答错，屏幕自动显示："对不起按照契约我将毁灭你的电脑"，紧接着删除系统文件，操作系统无法重新启动。

360全年累计查杀：167万次，受害网民超过30万

病毒：

近日，一些主流安全厂商纷纷公布了2008年主要病毒的发作情况，有趣的是，记者发现其中一些病毒具有“与众不同的创意”。事实上，即便是主流的反病毒公司，也对这些有趣和不同寻常的恶意软件深感兴趣。为此，记者在春节前专门策划了本期盘点，以飨读者。

第一位：P2PShared.U，汉堡包蠕虫病毒。这种恶意代码在电子邮件中的主题为：“麦当劳祝你圣诞快乐！”。在邮件中，声称提供免费的麦当劳优惠券。然而，优惠券是真正的蠕虫病毒。如果没有一个良好的安全解决方案。用户从此邮件中唯一免费获得将是“消化不良”。

第二位：Agent.JEN，虚假信使。想象一下，一个信使在你的门前声称有一个包裹给你，但当你打开大门，大批犯罪分子入侵你的房子。那么这就是Agent.JEN对用户计算机所做之事。它在电子邮件中声称已通过UPS发送。任何人都可能下载和打开附件，打开的木马程序将立即下载其它恶意软件，并安装在计算机上。

第三位：Banbra.FXT，法院传令。病毒伪装成从巴西法院传来的一条信息，Banbra.FXT通知收件人他们正在进行调查，并提供了一份报告，已经作出详细说明的指控。然而这份报告仅仅是一个是该木马的副本。一旦安装在计算机上，它会窃取用户银行账号、密码的详细资料。

第四位：Banker.LGC，眼见为实。F1车手阿隆索出了一宗交通意外？不！这仅仅是一个木马发明的故事，以吸引用户观看视频。下载并打开视频的计算机将被感染系统，并且另一木马旨在窃取用户银行资料。

第五位：Sinowal.VTJ，恶人告状。这也许是2008年下半年出现的最古怪恶意代码。电子邮件出自一个匿名者，声称收件人曾经发送病毒，并且威胁要通知警方。它试图欺骗用户打开和打印附件，声称该附件证明其已发送了邮件。然而附件仅仅包含一个木马Sinowal VTJ的副本。

第六位：BatGen.D，西班牙厨师。这种恶意代码专门用于编写各种类型的恶意软件。它以一个名为“personalcake.bat”的文件到达用户计算机。而实际上是一种用于创建恶意软件的工具，当问用户想给创造如何命名时，它要求：“selecciona el nombre del pastel”（为蛋糕选择名称）。

第七位：Aidreden.A，可怕的预言家。如果一个恶意代码预测用户的未来并不奇怪，奇怪的是它告诉用户即将死亡。当然，恶意软件并非仅此而已，在受感染的计算机上将显示信息： “你将在下个月死亡”，该对话框还包括 “确定” 选项 .当然很难想象用户会同意这一点。

第八位：Banker.LLN，总统选举。该木马以一个名为“barackobama.exe”的文件以及一个美国国旗的图标进入用户电脑。不出所料，这一恶意代码无关总统选举。只是另一种专为窃取银行资料的邪恶木马。

第九位：Banbra.GDB，巴西警察。当警察来敲门时最好是开门，除非它真的是一个入侵者。 Banbra.GDB以一封电子邮件到达用户计算机，其声称来自于巴西警察。这个电子邮件告诉用户，他们的电脑正被用于非法活动，并邀请它们下载包含证据的报告。然而，运行附件的用户会发现他们的电脑感染了盗取银行信息的木马。

第十位：Spammer.AKE，危险朋友。该蠕虫经由电子邮件传播，其中包含有关友谊和爱情的各种信息。但是，不要被愚弄。这是没有朋友，因为它会感染您的计算机，并用它来发送垃圾邮件。

watchdog出错 在线求助

是您第一次看到这种维生素E停止错误屏幕，

重新启动computer.if此屏幕再次出现，请按照下列

这些步骤：

请与您的硬件供应商的任何BIOS更新。丧失能力

biso内存选项，例如缓存或遮蔽。如果您需要

使用安全模式删除或禁用组件，重新启动

计算机，按F8键选择高级启动选项，然后

选择安全模式。技术资料：

停止： 0 × 000000 × 8e （ 0 ×为C0000005 ， 0 × f89856fc ， 0 × ba2f77f8 ， 0 × 00000000 ）

看门狗，系统-地址f 89856fc基地f 8985000，邮戳41107d24 问题来源：你中了机器狗病毒!没看见里面提示WATCHDOG.SYS文件出错的吗,这是黑客免杀后的机器狗的驱动文件,但没有免杀好,运行错误,所以蓝屏..把这个文件删除掉重启就行,要想删除干净,把注册表里这个服务键值删除了就干净了

机器狗中毒会怎么样.黑客.网吧版本系统

计算机病毒“机器狗”

机器狗的生前身后，曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。

工作原理

机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。

重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这也不是最好的，还有就是这种技术应用范围非常小，只有还原技术厂商范围内有传播，在这方面国际上也只有中国在用，所以，很可能就是行业内杠。

对于网吧而言，机器狗就是剑指网吧而来，针对所有的还原产品设计，可预见其破坏力很快会超过熊猫烧香。好在现在很多免疫补丁都以出现，发稿之日起，各大杀毒软件都以能查杀。

免疫补丁之争

现在的免疫补丁之数是疫苗形式，以无害的样本复制到drivers下，欺骗病毒以为本身以运行，起到阻止危害的目的。这种形式的问题是，有些用户为了自身安全会在机器上运行一些查毒程序（比如QQ医生之类）。这样疫苗就会被误认为是病毒，又要废很多口舌。

解决之道

最新的解决方案是将system32/drivers目录单独分配给一个用户，而不赋予administror修改的权限。虽然这样能解决，但以后安装驱动就是一件头疼的事了。

来彻底清除该病毒，处理后重启一下电脑就可以了，之前要打上补丁！

或者这样：

1注册表，组策略中禁止运行userinit.exe 进程

2 在启动项目中加入批处理

A : 强制结束userinit.exe进程 Taskkill /f /IM userinit.exe （其中“/IM”参数后面为进程的图像名，这命令只对XP用户有效）

B : 强制删除userinit.exe文件 DEL /F /A /Q %SystemRoot%\system32\userinit.exe

C : 创建userinit.exe免疫文件到%SystemRoot%\system32\

命令：md %SystemRoot%\system32\userinit.exe nul 2nul

或者 md %SystemRoot%\system32\userinit.exe

attrib +s +r +h +a %SystemRoot%\system32\userinit.exe

D : reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe" /v debugger /t reg_sz /d debugfile.exe /f

userinit1.exe是正常文件改了名字，多加了一个1，你也可以自己修改，不过要手动修改这4个注册表，并导出，这个批处理才能正常使用。

最新动向

好像机器狗的开发以停止了，从样本放出到现在也没有新的版本被发现，这到让我们非常担心，因为虽着研究的深入，现在防御的手段都是针对病毒工作原理的，一但机器狗开始更新，稍加改变工作原理就能大面积逃脱普遍的防御手段，看来机器狗的爆发只是在等待，而不是大家可以高枕了。

目前网上流传一种叫做机器狗的病毒，此病毒采用hook系统的磁盘设备栈来达到穿透目的的，危害极大，可穿透目前技术条件下的任何软件硬件还原！基本无法靠还原抵挡。目前已知的所有还原产品，都无法防止这种病毒的穿透感染和传播。

机器狗是一个木马下载器，感染后会自动从网络上下载木马、病毒，危及用户帐号的安全。

机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件，与原系统中还原软件驱动进行硬盘控制权的争夺，并通过替换userinit.exe文件，实现开机启动。

那么如何识别是否已中毒呢？

是否中了机器狗的关键就在 Userinit.exe 文件，该文件在系统目录的 system32 文件夹中，点击右键查看属性，如果在属性窗口中看不到该文件的版本标签的话，说明已经中了机器狗。如果有版本标签则正常。

临时解决办法：

一是在路由上封IP：

ROS脚本,要的自己加上去

/ ip firewall filter

add chain=forward content=yu.8s7.net action=reject comment="DF6.0"

add chain=forward content= action=reject

二是在c:\windows\system32\drivers下建立免疫文件： pcihdd.sys ，

三是把他要修改的文件在做母盘的时候，就加壳并替换。

在%systemroot%\system32\drivers\目录下 建立个 明字 为 pcihdd.sys 的文件夹 设置属性为 任何人禁止

批处理

md %systemroot%\system32\drivers\pcihdd.sys

cacls %systemroot%\system32\drivers\pcihdd.sys /e /p everyone:n

cacls %systemroot%\system32\userinit.exe /e /p everyone:r

exit

目前，网络流行以下解决方法，或者可以在紧急情况下救急：

1、首先在系统system32下复制个无毒的userinit.exe，文件名为FUCKIGM.exe(文件名可以任意取)，这就是下面批处理要指向执行的文件！也就是开机启动userinit.exe的替代品！而原来的userinit.exe保留！其实多复制份的目的只是为了多重保险！可能对防止以后变种起到一定的作用。

2、创建个文件名为userinit.bat的批处理（文件名也可任意取，但要和下面说到的注册表键值保持一致即可），内容如下：

start FUCKIGM.exe (呵呵，够简单吧？)

3、修改注册表键值，将userinit.exe改为userinit.bat。内容如下：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.bat,"

就这3步，让这条狗再也凶不起来！这是在windows 2003测试的，双击机器狗后，没什么反应，对比批处理也是正常，即这狗根本没改动它！开关机游戏均无异常！但唯一美中不足的是，采用经典模式开机的启动时会出现个一闪而过的黑框！

如果嫌麻烦，也不要紧。上面三条批处理网友已搞好了，直接复制下面的这个存为批处理执行就OK了。三步合二为一

@echo off

:::直接复制系统system32下的无毒userinit.exe为FUCKIGM.exe

cd /d %SystemRoot%\system32

copy /y userinit.exe FUCKIGM.exe nul

:::创建userinit.bat

echo @echo off userinit.bat

echo start FUCKIGM.exe userinit.bat

:::注册表操作

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v Userinit / t REG_SZ /d "C:\WINDOWS\system32\userinit.bat," /f nul

:::删掉自身（提倡环保）

del /f /q %0

当然，如果实在不行，下载程序killigm。然后直接解压运行里面的程序:机器狗免疫补丁.bat 执行就可以了.

网上流传的另一种新的变种的防止方法 :

开始菜单运行.输入CMD

cd ……到drivers

md pcihdd.sys

cd pcihdd.sys

md 1...\

可防止最新变种。请注意：此法只能是防止，对于杀机器狗还得靠最新的杀毒程序才行。

针对该病毒，反病毒专家建议广大用户及时升级杀毒软件病毒库，补齐系统漏洞，上网时确保打开“网页监控”、“邮件监控”功能；禁用系统的自动播放功能，防止病毒从U盘、MP3、移动硬盘等移动存储设备进入到计算机；登录网游账号、网络银行账户时采用软键盘输入账号及密码

----------------------------------------------------------------------------------------------------------------------------------------------------------

新版“机器狗”病毒详细分析资料(全部资料的一少部分)

报告名称：新版“机器狗”病毒详细分析资料(全部资料的一少部分)

报告类型：病毒原理逆向反汇编分析播报

编写作者：Coderui

编写日期：2008年01月15日

------------------------------------------------------------------------

对比“机器狗”一类新、老版本病毒的特征：

1：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。

2：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。

3：新版本“机器狗”病毒驱动文件很小(1,536 字节)，老版本“机器狗”病毒驱动文件很大(6,768 字节)。

4：新版本“机器狗”病毒安装驱动后没有执行卸载删除操作，老版本“机器狗”病毒安装驱动工作完毕后会卸载删除。

5：新版本“机器狗”病毒针对的是系统“conime.exe”、“ctfmon.exe”和“explorer.exe”程序文件，老版本“机器狗”病毒只针对系统“userinit.exe”文件。

6：新版本“机器狗”病毒没有对注册表进行操作，老版本“机器狗”病毒有对注册表“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon”项进行操作(感觉该操作没必要，因为重新启动系统后，“还原保护程序”系统会将其还原掉)。

7：新版本“机器狗”病毒去到系统dllcache文件夹下调用真实系统文件运行，老版本“机器狗”病毒没有到系统dllcache文件夹下调用真实系统文件运行。

8：新版本“机器狗”病毒采用的是控制台程序图标，老版本“机器狗”病毒采用的是黑色机器小狗图案的图标。

大概列举出来了上边的几点，经过仔细分析它们的工作原理和编码风格后，可以推测出新版本“机器狗”病毒和老版本“机器狗”病毒决定不是出自一个人之手。

------------------------------------------------------------------------

错误纠正：

在此要纠正两个技术性的问题，网络上流传的一些关于分析“机器狗”病毒(新、老版本)的部分文章中，有两处表达错误的地方。

第一处是：在那些分析文章中所提到“‘机器狗’病毒会破坏‘还原保护程序’系统，使其还原功能失效”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并没有破坏‘还原保护程序’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口，向真实的磁盘中执行修改覆盖“C:\windows\explorer.exe”目标文件(文件名是病毒作者定义的，不固定、会变。但肯定的是，真实磁盘中是存在该文件的。并且病毒运行后，一般只会修改覆盖一个真实磁盘中的系统文件，再不会去破坏其它真实磁盘中的文件)操作。虽然‘机器狗’病毒运行后下载了很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被‘还原保护程序’系统还原掉的，只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行。其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程序”。

第二处是：在那些分析文章中所提到“‘机器狗’病毒会替换系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”或“‘机器狗’病毒会感染系统中的正常程序‘conime.exe’、‘ctfmon.exe’、‘explorer.exe’或‘userinit.exe’”。其实，从概念的理解上来讲述，那些表达都是错误的，是让人理解不清晰的，会严重误导读者。正确的表述应该是这样的：“‘机器狗’病毒并不是替换了系统中的那些正常文件，而是针对那些正常文件在硬盘中所存放的真实物理地址进行以覆盖的方式去写入相应的恶意数据。大家可以找来正常的系统文件‘explorer.exe’、被病毒修改覆盖后的系统文件‘explorer.exe’和病毒释放出来的恶意程序‘tmp281.tmp’。对比它们内部数据代码后会发现，被病毒修改后的系统文件‘explorer.exe’的前部分数据代码和”病毒释放出来的恶意程序‘tmp281.tmp’文件的数据代码是完全相同的，而后边的数据代码依然是正常系统文件‘explorer.exe’后边的数据代码。”。

简单的概念解释：

替换：把原目标程序的数据代码全部清除掉，用新程序的数据代码来代替以前的整个程序。这样，替换后的程序只有新程序的功能。

感染：在不破坏原目标程序数据代码的前提下，向原目标程序的数据代码中追加上新程序的数据代码。这样，感染后的程序既有原目标程序的功能，又有新程序的功能。

覆盖：从原目标程序数据代码的文件头0地址处开始，向后依次执行覆盖写入新程序的数据代码操作，我们这里只假设原目标程序文件远远大于新程序。这样，覆盖后的程序只执行新程序的功能，虽然原目标程序的数据代码还存在一部分，但由于没有被调用，所以不会执行。

------------------------------------------------------------------------

总结：

上边所指的“还原保护程序”为利用磁盘过滤驱动技术编写而成的系统还原保护程序，出名一点的软件有“冰点还原精灵”和“影子系统”等。也就是说，就算用户计算机安装了上边这样的“还原保护程序”，只要是中了“机器狗”一类利用穿“还原保护程序”技术的病毒，就算您重新启动计算机了，但被修改的那个文件“explorer.exe”也是依然不会被还原的，因为病毒的恶意代码已经覆盖进了这个真实的磁盘文件中。

目前的“机器狗”一类利用穿“还原保护程序”技术的病毒有一个致命的软肋，那就是他们所覆盖的真实系统文件在重新启动计算机后一定要自启动运行，不然就失去病毒存在的意义了。现今的“机器狗”病毒都只是能够穿透磁盘保护的，并穿透不了注册表(无法在注册表中保存添加或修改后的数据信息)，这个就是它最大的缺陷。其实，注册表数据信息也是以文件的形式保存在磁盘中的，下一代“机器狗”病毒可能会实现穿透注册表的功能，等那个时候，可能就很难防范了。这还是不算什么的，下下一代的“机器狗”病毒可能会利用自己的磁盘过滤驱动去感染真实硬盘下的PE文件，相当的恐怖啊！！

一旦感染了该版本的“机器狗”病毒，它不仅仅可以穿透“还原保护程序”，真实系统也一样会中毒。因为病毒修改覆盖了真实的系统文件“C:\windows\explorer.exe”。所以每次重新启动计算机后，被修改覆盖的系统程序“C:\windows\explorer.exe”它都会在被感染计算机的后台连接网络下载骇客事先定义好的下载列表中的全部恶意程序并自动调用运行。那么如果中该病毒的用户比较多，几万台计算机同时启动，骇客的下载服务器会挂掉吗？呵呵~！！

求一部太空科幻电影

中文片名：

红色星球

更多外文片名：

Red Planet

更多中文片名：

勇闯火星

全面失控

宇宙深慌

更多外文片名：

Mars .....(USA) (working title)

影片类型：

动作 / 惊悚 / 科幻

片长：

106 min

国家/地区：

美国 澳大利亚

对白语言：

英语

色彩：

彩色

幅面：

35毫米胶片变形宽银幕

混音：

杜比数码环绕声 DTS SDDS

评级：

Rated PG-13 for sci-fi violence, brief nudity and language.

级别：

Singapore:PG Argentina:Atp Chile:TE Peru:PT USA:PG-13 Sweden:11 France:U Finland:K-11 UK:12 Norway:11 Germany:12 Spain:7 Netherlands:16 Hong Kong:IIA New Zealand:M South Korea:12 Switzerland:12

制作成本：

＄75,000,000 (estimated)

拍摄日期：

1999年8月30日 - 1999年12月24日

摄影机：

Panavision Cameras and Lenses

摄制格式：

35 mm (Kodak

Fuji)

洗印格式：

35 mm

[编辑本段]演职员表

导演 Director：

Antony Hoffman

编剧 Writer：

Chuck Pfarrer .....(story)

Chuck Pfarrer .....(screenplay) and

Jonathan Lemkin .....(screenplay)

演员 Actor：

瓦尔·基尔默 Val Kilmer .....Robby Gallagher

凯瑞-安·莫斯 Carrie-Anne Moss .....Cmdr. Kate Bowman

本杰明·布拉特 Benjamin Bratt .....Lt. Ted Santen

汤姆·塞兹摩尔 Tom Sizemore .....Dr. Quinn Burchenal

西蒙·贝克尔 Simon Baker .....Chip Pettengill

特伦斯·斯坦普 Terence Stamp .....Dr. Bud Chantilas

Jessica Morton .....Website Fan (as Jessica Morton)

Caroline Bossi .....Website Fan

Bob Neill .....Houston Control (voice)

Neil Ross .....Space Suit (voice) (uncredited)

制作人 Produced by：

Bruce Berman .....producer

马克·坎顿 Mark Canton .....producer

Stephen Jones .....associate producer

Andrew Mason .....executive producer

Chuck Pfarrer .....executive producer

乔治·塞拉雷吉 Jorge Saralegui .....producer

Charles J.D. Schlissel .....executive producer

[编辑本段]制作发行

制作公司：

Mars Production Pty. Ltd.

NPV Entertainment

Village Roadshow Pictures [澳大利亚]

发行公司：

华纳兄弟影业公司 Warner Bros. Pictures Inc. [美国] ..... (2000-2002) (worldwide) (theatrical)

Roadshow Entertainment Video [澳大利亚] ..... (Australia) (VHS)

Roadshow Entertainment [澳大利亚] ..... (Australia) (VHS)

Village Roadshow Entertainment [澳大利亚] ..... (2000) (Australia) (theatrical)

Warner Bros. GmbH [德国] ..... (2000) (Germany) (theatrical)

华纳兄弟公司 Warner Bros. [阿根廷] ..... (2000) (Argentina) (theatrical)

华纳兄弟公司 Warner Bros. [法国] ..... (2000) (France) (theatrical)

华纳兄弟公司 Warner Bros. [日本] ..... (2000) (Japan) (theatrical)

华纳兄弟公司 Warner Bros. [美国] ..... (2000) (USA) (theatrical)

Warner Home Vídeo [巴西] ..... (Brazil) (DVD)

Warner Sogefilms A.I.E. [西班牙] ..... (Spain)

特技制作公司：

Cinesite (Hollywood) [美国]

Digital Domain [美国]

Digital Filmworks Inc. [美国]

Flash Film Works [美国]

Grant McCune Design [美国]

Hammerhead Productions [美国]

MetroLight Studios [美国]

OCS/Freeze Frame/Pixel Magic [美国]

Rising Sun Pictures [澳大利亚]

其它公司：

Ace Books [美国] ..... novelization

Antakirinja Land Management Aboriginal Corporation [澳大利亚] ..... special thanks

Danetracks Inc. [美国] ..... sound post-production

District Council of Coober Pedy [澳大利亚] ..... special thanks

Interscope Records [美国] ..... soundtrack

Pangaea Records [美国] ..... soundtrack published by

Spectrum Films International [澳大利亚] ..... post-production facilities

Spectrum Films Pty. Ltd. [澳大利亚] ..... post-production facilities

[编辑本段]上映日期

美国 USA

2000年11月6日 ..... (premiere)

美国 USA

2000年11月10日

台湾 Taiwan

2000年11月24日

法国 France

2000年11月29日

希腊 Greece

2000年12月1日

英国 UK

2000年12月1日

比利时 Belgium

2000年12月6日

澳大利亚 Australia

2000年12月7日

马来西亚 Malaysia

2000年12月7日

新西兰 New Zealand

2000年12月7日

冰岛 Iceland

2000年12月8日

捷克 Czech Republic

2000年12月14日

西班牙 Spain

2000年12月22日

印度尼西亚 Indonesia

2000年12月30日 ..... (Jakarta)

香港 Hong Kong

2001年1月4日

意大利 Italy

2001年1月12日

日本 Japan

2001年1月13日

芬兰 Finland

2001年1月19日

秘鲁 Peru

2001年1月25日

爱沙尼亚 Estonia

2001年1月26日

匈牙利 Hungary

2001年2月8日

荷兰 Netherlands

2001年2月15日

斯洛文尼亚 Slovenia

2001年2月15日

巴西 Brazil

2001年2月16日

立陶宛 Lithuania

2001年2月23日

德国 Germany

2001年3月1日

瑞典 Sweden

2001年3月2日

南非 South Africa

2001年4月6日

阿根廷 Argentina

2001年4月19日

俄罗斯 Russia

2001年5月23日 ..... (video premiere)

科威特 Kuwait

2001年9月19日

[编辑本段]剧情介绍

版本1

时间是2050年，地球因为人类的过度污染，即将面临灭亡的命运，距离地球最近的火星，成为发展人类殖民计划的对象，将火星变为第二个地球，成为人类生存下去的唯一希望与当务之急。科学家们运用最新的科技，三十年间发射多部的无人机具到火星，预计溶解火星的北极冰帽，使火星的水与氧气能够溶解，再藉以制造海洋改变火星的大气层，使火星的温度与氧气的浓度都可以适合人类的生存。但是负责进行该计划的机具出现故障，导致移民计划必须被迫延后，迫在眉睫之际，任务指挥官凯特包 (凯莉安摩丝饰)率领人类史上第一批准备登陆火星的太空人，一群训练精良，具备特殊专长的专业人士，准备出发前往火星，修理环境改造机具，好让火星的改造计划顺利执行。

降落火星时，登陆艇因遭受超越预期的强力撞击，让他们失去了所有的科学仪器，通讯机具与重新返回太空船的载具，在这个充满未知与敌意的火星地表上，这群太空人必须通力合作利用彼此的专业知识，才能够对抗火星恶劣的生存环境，但是他们可利用的资源毕竟有限，活下来也只不过是多挣扎一段时间而已。

另一方面，为了能够平安救回这群队友，任务指挥官凯特决定违抗休斯顿的命令，登陆火星，这一群遭逢九死一生的太空人是否能够安然地逃离这个险恶环境？

版本2

公元2050年，据科学家估计，不久的未来地球将会灭亡，而火星将成为人类唯一的希望，因此一批来自不同地方但各有专长的太空人被派往火星考察并建立殖民地。在执行登陆火星的任务过程中，他们的设备出现了严重故障，突如其来的意外导致正在仓外工作的宇航员全部丧生，幸存者们则面临着如何从这场灾难中拯救自己的生死考验。他们与基地失去联络，只有弃船搭乘救生仓迫降到火星上，恐怖的历程就此展开……在这个陌生的星球上，他们发现要应付的不仅仅是基本的需要，还有一个个威胁到他们生命的问题正陆续出现。

[编辑本段]幕后花絮

影片中，太空人要面对的不仅是火星的恶劣环境，更要与不同性格和专长的组员间展开人性的斗争，而这种斗争还延续到了影片之外。据《纽约每日新闻报》报导，电影中演博士的汤姆·西斯摩对方·基墨的工作态度颇为不满。

他对记者说：“我以后不会和他再上任何星球了！我可以告诉你，方·基墨有一堆问题。我不想伤害他，但这个人很难和他共事。” 方·基墨也反唇相讥，他说，西斯摩这个人真是没有演员该有的样子，这本来就是一部很难拍的电影。似乎暗示对方无理抱怨是为了发泄拍片的怒气。不过话说回来，由于这位汤姆·西斯摩先生曾演过《拯救大兵瑞恩》，现在正在赶拍《珍珠港》，演这一连串的阳刚味十足的战争片怎能不让他火气特大呢。

片中有很多新颖别致的设计，如外观可爱的机械狗是太空船上的先进科技，用来帮助太空人在船舱内进行特别工作，但在片中船舱内的仪器失灵后，机械狗突然“发难”袭击太空人。而片中造型怪异的救生仓活像个长满了瘤的肉球。

火星片不能少的当然是遇上爆炸意外，继而太空人忙于逃离太空船的惊险场面。已经发布的预告片中就有一幕是任务出错导致太空船掉落火星，导演利用远近不同手法（先拍混乱的掉落近景，再将镜头拉到指挥官的母船，看到的是火星上扬起一圈火花），一下子就突显出人类的无助与渺小。

[编辑本段]影片特色

这是一部场面壮观宏大，又充满浪漫情趣的冒险影片，观赏性很强。

2050年，地球正逐步走向毁灭，火星殖民是人类的唯一选择。凯特-鲍曼(凯丽-安妮-摩斯饰)作为拯救人类行动的高级指挥官，和她的小队踏上了火星探险的旅程，他们要解决人类在火星生存中将要面临的一系列问题，为人类的大迁徙做好充分准备。但他们在这个陌生的星球上的处境却可怕得超乎想象：一次紧急降落使他们丧失了科研、通信和逃生设备，而他们的军用测绘地形仪和探险机器人也因故障而与他们为敌，残忍地追杀小队成员。紧急之中，鲍曼毅然决定不执行休斯顿总部的指令，她拒绝抛下与自己存在冲突的加拉格尔(瓦尔-基尔默饰)和其他队员(汤姆-赛兹摩尔、本杰明-布拉特、西蒙-贝克和特伦斯-斯坦普饰)，而是与他们一起想方设法安全返回。

就在队员们在这个荒芜的星球上徒劳地寻找脱困的途径之时，他们却有了一个最可怕、最不可思议的发现：看似不毛之地的火星并非是无人居住的！

《红色星球》的演员阵容非常强大，包括瓦尔-基尔默(曾主演《盗火线》、《埃及王子》)、汤姆-赛兹摩尔(曾主演《拯救大兵瑞恩》)、凯丽-安妮-摩斯(曾主演《黑客帝国》)，本杰明-布拉特(电视剧《法与令》主角)、西蒙-贝克(曾主演《洛城机密》)和特伦斯-斯坦普都在片中担任主要角色。

下载搜索地址

;suffix=id=10000001pattern=0imask=-1

计算机病毒发生过什么事件

1、最初"计算机病毒"这一概念的提出可追溯到七十年代美国作家雷恩出版的《P1的青春》一书，书中构思了一种能够自我复制，利用通信进行传播的计算机程序，并称之为计算机病毒。

2、贝尔实验室的三位年轻程序员也受到冯?诺依曼理论的启发，发明了"磁芯大战"游戏。

3、1983 年 11月，在一次国际计算机安全学术会议上，美国学者科恩第一次明确提出计算机病毒的概念，并进行了演示。

4、世界上公认的第一个在个人电脑上广泛流行的病毒是1986年初诞生的大脑(C-Brain)病毒，编写该病毒的是一对巴基斯坦兄弟，两兄弟经营着一家电脑公司，以出售自己编制的电脑软件为生。当时，由于当地盗版软件猖獗，为了防止软件被任意非法拷贝，也为了追踪到底有多少人在非法使用他们的软件，于是在1986年年初，他们编写了"大脑（Brain）"病毒，又被称为"巴基斯坦"病毒。该病毒运行在DOS操作系统下，通过软盘传播，只在盗拷软件时才发作，发作时将盗拷者的硬盘剩余空间吃掉。

5、1988年11月美国国防部的军用计算机网络遭受莫里斯病毒袭击，致使美国Internet网络上6000多计算机感染，直接经济损失9600万美元。莫里斯病毒是由康乃尔大学23岁的罗特?莫里斯制作。后来出现的各类蠕虫，都是仿造了莫里斯蠕虫，以至于人们将该病毒的编制者莫里斯称为"蠕虫之父"。

6、1999年 Happy99、美丽杀手（Melissa）等完全通过Internet传播的病毒的出现标志着Internet病毒将成为病毒新的增长点。其特点就是利用Internet的优势，快速进行大规模的传播，从而使病毒在极短的时间内遍布全球。

7、CIH病毒是继DOS病毒的第四类新型病毒，CIH这三个字母曾经代表着灾难。1998年8月从台湾传入大陆，共有三个主要版本：1.2版/1.3版/1.4版，发作时间分别是4月26日、6月26日、每月26日。该病毒是第一个直接攻击、破坏硬件的计算机病毒，是迄今为止破坏最为严重的病毒。

CIH病毒制造者 陈盈豪 曾有两次精神科门诊记录，被人们认为是"电脑鬼才"。

8、2000年的5月，通过电子邮件传播的"爱虫"病毒迅速在世界各地蔓延，更大规模的发作，造成全世界空前的计算机系统破坏。 I LOVE YOU爱虫病毒是使用VB Script程序语言编写的病毒，它主要是通过一封信件标题为"I LOVE YOU"的电子邮件传播的。一旦执行附加文件，病毒会获取Outlook通讯录的名单，并自动发出"I LOVE YOU"电子邮件，从而导致网络阻塞。破坏性：爱虫病毒的传播会导致网络瘫痪，病毒发作时，还会把*.mp3、*.jpg等10种文件改为*.vbs，并传染覆盖这些文件。

与爱虫病毒相似的网络病毒还有Melissa（美丽杀手病毒）等。

9、着名的"黑色星期五"病毒在逢13号的星期五发作。

10、2001年9月18日出现的Nimda病毒则是病毒演变过程中的另一个里程碑，它首次利用了系统中的漏洞对互联网发起攻击，具备了典型的黑客特征。它的出现意味着，混合着多种黑客手段的病毒从此诞生。

尼姆达是一种新型的、复杂的、发送大量邮件的蠕虫病毒，它通过网络进行传播。尼姆达病毒总是伪装成一封主题行空缺的电子邮件展开对计算机的侵袭。打开这封"来历不明"的电子邮件，就会发现随信有一个名为readme.exe(即可执行自述文件)的附件，如果该附件被打开，尼姆达就顺利地完成了侵袭电脑的第一步。接下来，该病毒不断搜索局域网内共享的网络资源，将病毒文件复制到用户计算机中，并随机选择各种文件作为附件，再按照用户储存在计算机里的邮件地址发送病毒，以此完成病毒传播的一个循环过程。

11、2002年，求职信Klez病毒，邮件病毒，主要影响微软的Outlook Express用户。

12、"附件在哪啊？你找到我吗？放心打开来，这是一个重要文件，可以查杀QQ病毒的专杀工具请查收附件。"如果你收到一封这样的电子邮件，千万不要打开，这是国内第一例中文混合型病毒，会导致电脑里的各种密码，包括操作系统、网络游戏、电子邮件的各种密码被窃取。

13、冲击波，2003年8月11日，冲击波席卷全球，利用微软网络接口RPC漏洞进行传播，造成众多电脑中毒，机器不稳定，重启，死机，部分网络瘫痪，没打过补丁的WINDOWS操作系统很难逃出它的魔爪。

14、震荡波：具有类似冲击波的表现形式，感染的系统重新启动计算机，原因是给蠕虫病毒导致系统文件lsess.Exe的崩溃。

15、小球病毒，作为Dos时代的老牌病毒，它也是国内流行起来的第一例电脑病毒。小球病毒可以险恶地控制电脑，使程序运行缓慢甚至无法运行。

特洛伊木马，一经潜入，后患无穷

据说在海湾战争中，美国防部一秘密机构曾对伊拉克的通讯系统进行了有计划的病毒攻击，一度使伊拉克的国防通讯陷于瘫痪。

1、MSN小丑(MsnFunny)，自动向用户的msn发送消息和病毒

2、Word文档杀手：破坏文档数据，记录管理员密码。

3、雏鹰(BBeagle)：木马程序，电子邮件传播，监测系统时间，2004年2月25日则自动退出。

4、好大(Sobig)：1分钟300封病毒邮件

5、红色代码(I-Worm Redcode)：感染对象，服务器，修改服务器网站网页

6、蓝色代码(Bluecode)：启动多个进程，系统运行速度非常慢，cpu占用率急速上升，甚至瘫痪

7、密码杀手2004：通过键盘记录技术截取几乎所有登录窗口的输入信息，通过电子邮件发送给病毒作者。

8、挪威客(Mydoom.e)：疯狂发送带毒邮件，随机删除计算机数据。

9、网络天空(Netsky)：带毒邮件大量传播，消耗网络资源，影响企业的邮件服务器

10、武汉男生：qq发送诱惑信息，盗取传奇密码以邮件形式发给盗密码者，并结束多种反病毒软件。

11、证券大盗(PSW.Soufan)：特洛伊木马，盗取多家证券交易系统的交易账户和密码。记录键盘信息的同时通过屏幕快照将用户资料已图片形式发送。

2008年度十大病毒/木马

根据病毒危害程度、病毒感染率以及用户的关注度，计算出综合指数，最终得出以下十大病毒/木马为2008年最具影响的十大病毒/木马。

1、 机器狗系列病毒

关键词：底层穿磁盘 感染系统文件

机器狗病毒因最初的版本采用电子狗的照片做图标而被网民命名为"机器狗"，该病毒变种繁多，多表现为杀毒软件无法正常运行。该病毒的主要危害是充当病毒木马下载器，通过修改注册表，让大多数流行的安全软件失效，然后疯狂下载各种盗号工具或黑客工具，给广大网民的网络虚拟财产造成巨大威胁。

机器狗病毒直接操作磁盘以绕过系统文件完整性的检验，通过感染系统文件（比如explorer.exe，userinit.exe，winhlp32.exe等）达到隐蔽启动；通过底层技术穿透冰点、影子等还原系统软件导致大量网吧用户感染病毒，无法通过还原来保证系统的安全；通过修复SSDT、映像挟持、进程操作等方法使得大量的安全软件失去作用；联网下载大量的盗号木马。部分机器狗变种还会下载ARP恶意攻击程序对所在局域网（或者服务器）进行ARP欺骗影响网络安全。

2、AV终结者病毒系列

关键词：杀毒软件无法打开 反复感染

AV终结者最大特点是禁用所有杀毒软件以及大量的安全辅助工具，让用户电脑失去安全保障；破坏安全模式，致使用户根本无法进入安全模式清除病毒；强行关闭带有病毒字样的网页，只要在网页中输入"病毒"相关字样，网页遂被强行关闭，即使是一些安全论坛也无法登陆，用户无法通过网络寻求解决办法；在磁盘根目录下释放autorun.Inf，利用系统自播放功能，如果不加以清理，重装系统以后也可能反复感染。

2008年年末出现的"超级AV终结者"结合了AV终结者、机器狗、扫荡波、autorun病毒的特点，是金山毒霸"云安全"中心捕获的新型计算机病毒。它对用户具有非常大的威胁。它通过微软特大漏洞MS08067在局域网传播，并带有机器狗的穿还原功能，下载大量的木马，对网吧和局域网用户影响极大。

3、onlinegames系列

关键词：网游 盗号

这是一类盗号木马系列的统称，这类木马最大的特点就是通过ShellExecuteHooks启动，盗取流行的各大网络游戏（魔兽，梦幻西游等）的帐号从而通过买卖装备获得利益。这类病毒本身一般不会对抗杀毒软件，但经常伴随着超级Av终结者、机器狗等病毒出现。

4 、HB蝗虫系列木马

关键词：网游盗号

HB蝗虫病毒新型变种是金山毒霸"云安全"中心截获的年末最"牛"的盗号木马病毒。该系列盗号木马技术成熟，传播途径广泛，目标游戏非常的多（存在专门的生成器），基本囊括了市面上大多数的游戏，例如魔兽世界、大话西游onlineII、剑侠世界、封神榜II、完美系列游戏、梦幻西游、魔域等等。

该类木马主要通过网页挂马、流行病毒下载器传播。而传播此盗号木马的的下载器一般会对抗杀毒软件，造成杀毒软件不能打开、电脑反映速度变慢。

5 、扫荡波病毒

关键词：新型蠕虫 漏洞

这是一个新型蠕虫病毒。是微软"黑屏"事件后，出现的最具攻击性的病毒之一。"扫荡波"运行后遍历局域网的计算机并发起攻击，攻击成功后，被攻击的计算机会下载并执行一个下载者病毒，而下载者病毒还会下载"扫荡波"，同时再下载一批游戏盗号木马。被攻击的计算机中"扫荡波"而后再向其他计算机发起攻击，如此向互联网中蔓延开来。据了解，之前发现的蠕虫病毒一般通过自身传播，而扫荡波则通过下载器病毒进行下载传播，由于其已经具备了自传播特性，因此，被金山毒霸反病毒工程师确认为新型蠕虫。

微软宣布"黑屏"后的第3天，紧急发布了MS08-067安全公告，提示用户注意一个非常危险的漏洞，而后利用该漏洞发动攻击的恶意程序不断涌现；10月24日晚，金山发布红色安全预警，通过对微软MS08-067漏洞进行详细的攻击原型模拟演示，证实了黑客完全有机会利用微软MS08-067漏洞发起远程攻击，微软操作系统面临大面积崩溃威胁；11月7日，金山再次发布预警，"扫荡波"病毒正在利用该漏洞进行大面积攻击；11月7日晚，金山已证实"扫荡波"实为一个新型蠕虫病毒，并发布周末红色病毒预警。

6、QQ盗圣

关键词:QQ盗号

这是QQ盗号木马系列病毒，病毒通常释放病毒体（类似于UnixsMe.Jmp，Sys6NtMe.Zys，）到IE安装目录（C:Program FilesInternet Explore），通过注册表Browser Helper Objects实现开机自启动。当它成功运行后，就把之前生成的文件注入进程，查找QQ登陆窗口，监视用户输入盗取的帐号和密码，并发送到木马种植者指定的网址。

7、RPC盗号者

关键词：不能复制粘贴

该系列木马采用替换系统文件，达到开机启动的目的，由于替换的是RPC服务文件rpcss.dll ，修复不当，会影响系统的剪切板、上网等功能。部分版本加入了反调试功能，导致开机的时候系统加载缓慢。

8、伪QQ系统消息

关键词：QQ系统消息，杀毒软件不能使用

经金山毒霸"云安全"检测为钓鱼程序，病毒最大的特点是伪装QQ系统消息，用户一旦点击，钱财及电脑安全将面临巨大威胁。

该病毒的综合破坏能力比较强，它利用AUTO技术自动传播，当进入电脑后就运行自带的对抗模块，尝试映像劫持或直接关闭用户系统中的安全软件。病毒还带有下载器的功能，可下载其它木马到电脑中运行。

9、QQ幽灵

关键词：QQ 木马下载器

此病毒查找QQ安装目录，并在其目录释放一个精心修改psapi.dll，当QQ启动的时候将会将这个dll文件加载（程序加载dll文件的顺序1：应用程序的安装目录2：当前的工作目录3：系统目录4：路径变量），从而执行恶意代码下载大量病毒到用户电脑。

10、磁碟机

关键词：无法彻底清除 隐蔽

磁碟机与AV终结者、机器狗极为相似。最大特点是导致大量用户杀毒软件和安全工具无法运行，进入安全模式后出现蓝屏现象；而且更为严重的是，由于Exe文件被感染，重装系统仍无法彻底清除。

磁碟机病毒主要通过网站挂马、U盘、局域网内的ARP传播等方式进行传播，而且非常隐蔽，病毒在传播过程中，所利用的技术手段都是用户甚至杀毒软件无法截获的。病毒一旦在用户电脑内成功运行后，会自动下载自己的最新版本以及大量的其他一些木马到本地运行，盗取用户虚拟资产和其他机密信息；同时该病毒会感染用户机器上的exe文件，包括压缩包内的exe文件，并会通过UPX加壳，导致用户很难彻底清除。

二、2008年计算机病毒、木马的特点分析

2008年是病毒、木马异常活跃的一年。从病毒传播的角度看2008年大量的病毒通过网页挂马方式进行传播，主要利用的是realplay，adobe flash和IE漏洞进行传播。从病毒的运作模式看2008年大量病毒采用的方式是下载器对抗安全软件，关闭安全软件然后下载大量盗号木马到用户电脑－－盗取用户网游的账号发送到黑客的数据库。从病毒的危害来看2008年绝大多数流行的病毒都为网游盗号类木马，其次是远程控制类木马。

1、病毒制造进入"机械化"时代

由于各种病毒制作工具的泛滥和病毒制作的分工更加明细和程式化，病毒作者开始按照既定的病毒制作流程制作病毒。病毒制造进入了"机械化"时代。

这种"机械化"很大程度上得益于病毒制作门槛的降低和各种制作工具的流行。"病毒制造机"是网上流行的一种制造病毒的工具，病毒作者不需要任何专业技术就可以手工制造生成病毒。金山毒霸全球反病毒监测中心通过监测发现网络上有诸多此类广告，病毒作者可根据自己对病毒的需求，在相应的制作工具中定制和勾选病毒功能。病毒傻瓜式制作导致病毒进入"机械化"时代。

病毒的机械化生产导致病毒数量的爆炸式增长。反病毒厂商传统的人工收集以及鉴定方法已经无法应对迅猛增长的病毒。金山毒霸2009依托于"云安全"技术，一举实现了病毒库病毒样本数量增加5倍、日最大病毒处理能力提高100倍 、紧急病毒响应时间缩短到1小时以内，给用户带来了更好的安全体验。

2、病毒制造的模块化、专业化特征明显

病毒团伙按功能模块发外包生产或采购技术先进的病毒功能模块，使得病毒的各方面功能都越来越"专业"，病毒技术得以持续提高和发展，对网民的危害越来越大，而解决问题也越来越难。例如年底出现的"超级AV终结者"集病毒技术之大成，是模块化生产的典型代表。

在专业化方面，病毒制造业被自然的分割成以下几个环节：病毒制作者、病毒批发商、病毒传播者、"箱子"批发商、"信封"批发商、"信封"零售终端。病毒作者包括有"资深程序员"，甚至可能有逆向工程师。病毒批发商购买病毒源码，并进行销售和生成木马。病毒传播者负责将病毒通过各种渠道传播出去，以盗取有价值的QQ号码、游戏帐号、装备等。"箱子"批发商通过出租或者销售"箱子"（即可以盗取虚拟资产的木马，可以将盗取的号码收集起来）牟利，他们往往拥有自己的木马或者木马生成器。"信封"批发商通过购买或者租用"箱子"，通过出售收获的信封牟利。"信封"零售终端负责过滤"信封"中收集到的有价值的虚拟资产并进行销售。每个环节各司其职，专业化趋势明显。

3、病毒"运营"模式互联网化

病毒团伙经过2008一年的运营已经完全转向互联网，攻击的方式一般为：通过网站入侵-写入恶意攻击代码-利用成为新型网络病毒传播的主要方式，网民访问带有挂马代码的‘正常网站'时，会受到漏洞攻击而‘不知不觉'中毒。这种传播方式的特点是快速、隐敝性强、适合商业化运营（可像互联网厂商一样精确统计收益，进行销售分成）。

例如 "机器狗"病毒，"商人"购买之后，就可以通过"机器狗"招商。因为机器狗本身并不具备"偷"东西的功能，只是可以通过对抗安全软件保护病毒，因此"机器狗"就变成了病毒的渠道商，木马及其他病毒都纷纷加入"机器狗"的下载名单。病毒要想加入这些渠道商的名单中，必须缴纳大概3000块钱左右的"入门费"。而"机器狗"也与其他类似的"下载器"之间互相推送，就像正常的商业行为中的资源互换。这样，加入了渠道名单的病毒就可以通过更多的渠道进入用户的电脑。病毒通过哪个渠道进入的，就向哪个渠道缴费。

此外，病毒的推广和销售都已经完全互联网化。病毒推广的手法包括通过一些技术论坛进行推广，黑客网站也是推广的重要渠道，此外还包括百度贴吧、QQ群等渠道进行推广。其销售渠道也完全互联网化，销售的典型渠道包括：公开拍卖网站，比如淘宝、易趣等。还有通过QQ直销，或者通过专门网站进行销售。

4、病毒团伙对于"新"漏洞的利用更加迅速

IE 0day漏洞被利用成2008年最大安全事件。当ms08-67漏洞被爆光后部分流行木马下载器就将此漏洞的攻击代码集成到病毒内部实现更广泛的传播。而年底出现的IE0day漏洞，挂马集团从更新挂马连接添加IE 0day漏洞攻击代码到微软更新补丁已经过了近10天。期间有上千万网民访问过含有此漏洞攻击代码的网页。

此外，2008年Flash player漏洞也给诸多网民造成了损失。由于软件在自身设计、更新、升级等方面的原因，存在一些漏洞，而这些漏洞会被黑客以及恶意网站利用。在用户浏览网页的过程中，通过漏洞下载木马病毒入侵用户系统，进行远程控制、盗窃用户帐号和密码等，从而使用户遭受损失。

金山毒霸团队密切关注windows系统软件漏洞和第三方应用软件漏洞信息，及时更新漏洞库信息，同时金山清理专家采用P2SP技术，大大提高了补丁下载的速度，减少了用户电脑的风险暴露时间。

5、 病毒与安全软件的对抗日益激烈

在病毒产业链分工中，下载器扮演了‘黑社会'的角色，它结束并破坏杀毒软件，穿透还原软件，‘保护'盗号木马顺利下载到用户机器上，通过‘保护费'和下载量分脏。下载者在2008年充当了急先锋，始终跑在对抗杀毒软件的第一线，出尽风头且获得丰厚回报。

从‘AV终结者'的广泛流行就不难看出，对抗杀毒软件已经成为下载者病毒的‘必备技能'。

纵观08年的一些流行病毒，如机器狗、磁碟机、AV终结者等等，无一例外均为对抗型病毒。而且一些病毒制作者也曾扬言"饿死杀毒软件"。对抗杀毒软件和破坏系统安全设置的病毒以前也有，但08年表现得尤为突出。主要是由于大部分杀毒软件加大了查杀病毒的力度，使得病毒为了生存而必须对抗杀毒软件。这些病毒使用的方法也多种多样，如修改系统时间、结束杀毒软件进程、破坏系统安全模式、禁用windows自动升级等功能。

病毒与杀毒软件对抗特征主要表现为对抗频率变快，周期变短，各个病毒的新版本更新非常快，一两天甚至几个小时更新一次来对抗杀毒软件。

金山毒霸通过强化自保护功能，提高病毒攻击的技术门槛。目前，金山毒霸云安全体系可以做到病毒样本的收集、病毒库更新测试和升级发布全无人值守，自动化的解决方案以应对病毒传播制作者不断花样翻新的挑战。

三、2009年计算机病毒、木马发展趋势预测

1、0Day漏洞将与日俱增

2008年安全界关注的最多的不是Windows系统漏洞，而是每在微软发布补丁随后几天之后，黑客们放出来的0Day 漏洞，这些漏洞由于处在系统更新的空白期，使得所有的电脑都处于无补丁的可补的危险状态。

黑客在尝到0day漏洞攻击带来的巨大感染量和暴利以后会更加关注于0day漏洞的挖掘，2009年可能会出现大量新的0day漏洞（含系统漏洞及流行互联网软件的漏洞），病毒团伙利用0day漏洞的发现到厂商发布补丁这一时间差发动漏洞攻击以赚取高额利润。

2、网页挂马现象日益严峻

网页挂马已经成为木马、病毒传播的主要途径之一。入侵网站，篡改网页内容，植入各种木马，用户只要浏览被植入木马的网站，即有可能遭遇木马入侵，甚至遭遇更猛烈的攻击，造成网络财产的损失。

2008年，网站被挂马现象屡见不鲜，大到一些门户网站，小到某地方电视台的网站，都曾遭遇挂马问题。伴随着互联网的日益普及，网页挂马已经成为木马、病毒传播的主要途径之一的今天，金山毒霸反病毒工程师预测2009年网络挂马问题将更加严峻，更多的网站将遭遇木马攻击。

3、病毒与反病毒厂商对抗将加剧

随着反病毒厂商对于安全软件自保护能力的提升，病毒的对抗会越发的激烈。病毒不再会局限于结束和破坏杀毒软件，隐藏和局部‘寄生'系统文件的弱对抗性病毒将会大量增加。

4、新平台上的尝试

病毒、木马进入新经济时代后，肯定是无孔不入；网络的提速让病毒更加的泛滥。因此在2009年，我们可以预估vista系统，windows 7系统的病毒将可能成为病毒作者的新宠；当我们的智能手机进入3G时代后，手机平台的病毒/木马活动会上升。软件漏洞的无法避免，在新平台上的漏洞也会成为病毒/木马最主要的传播手段。

四、2009年反病毒技术发展趋势

在病毒制作门槛的逐步降低，病毒、木马数量的迅猛增长，反病毒厂商与病毒之间的对抗日益激烈的大环境下，传统"获取样本-特征码分析-更新部署"的杀毒软件运营模式，已无法满足日益变化及增长的安全威胁。在海量病毒、木马充斥互联网，病毒制作者技术不断更新的大环境下，反病毒厂商必须要有更有效的方法来弥补传统反病毒方式的不足，"云安全"应运而生。

金山毒霸"云安全"是为了解决木马商业化的互联网安全形势应运而生的一种安全体系结构。它包括智能化客户端、集群式服务端和开放的平台三个层次。"云安全"是现有反病毒技术基础上的强化与补充，最终目的是为了让互联网时代的用户都能得到更快、更全面的安全保护。

首先稳定高效的智能客户端，它可以是独立的安全产品，也可以作为与其他产品集成的安全组件，比如金山毒霸 2009和百度安全中心等，它为整个云安全体系提供了样本收集与威胁处理的基础功能；

其次服务端的支持，它是包括分布式的海量数据存储中心、专业的安全分析服务以及安全趋势的智能分析挖掘技术，同时它和客户端协作，为用户提供云安全服务；

最后，云安全需要一个开放性的安全服务平台作为基础，它为第三方安全合作伙伴提供了与病毒对抗的平台支持，使得缺乏技术储备与设备支持的第三方合作伙伴，也可以参与到反病毒的阵线中来，为反病毒产业的下游合作伙伴提供商业上的激励，摆脱目前反病毒厂商孤军奋战的局面。