二、僵尸网络病毒大肆传播，但较去年呈下降趋势

　　虽然3月份江民反病毒中心监测到“瑞波”“高波”变种等BOT类仍然在网上大肆传播，但较2005年相比，僵尸网络无论在数量还是在规模上，都呈现下降趋势，但新发现的BOT病毒传播和感染能力比较强，综合利用了微软操作系统的多种漏洞。

　　3月2日，江民公司反病毒中心连续监测到“瑞波”“高波”病毒变种（Backdoor/RBot.auv）正在国内迅速蔓延。“瑞波”变种经过多层压缩加密壳处理，可以利用多种系统漏洞进行传播，感染能力很强。中毒计算机将被黑客完全控制，成为"僵尸电脑"。由于此病毒会扫描感染目标，因此可以造成局域网拥堵。病毒运行后，连接IRC服务器，接收并执行黑客设置的黑客命令，这些命令可能是任意文件操作、注册表操作、键盘记录、下载执行远程程序、任意网络操作等。病毒通过MS03-007、MS03-026、MS04-011、MS04-031等多种系统漏洞进行传播，感染能力很强。病毒传播过程中，会发送大量网络包，用于扫描局域网内存在漏洞的计算机，可以导致局域网拥堵甚至瘫痪。

　　“高波”（Worm_AgoBot）新变种常驻内存，利用系统多种漏洞和通过远程攻击弱密码系统进行主动传播，利用mIRC软件进行远程控制。蠕虫还会连接IRC服务器，接收并执行黑客命令，使被感染计算机成为“僵尸电脑”。

　　3月2日当天，江民病毒预警系统共收到近200例用户上报的“瑞波”病毒样本，截止到3月3日凌晨，江民病毒预警系统共收到584例“高波”变种上报样本，上报人数是“瑞波”的三倍。

　　三、灰色软件大肆传播，呈借力木马传播新特征

　　由于利益驱动，灰色软件（例如广告件、间谍软件）在2006年传播十分广泛，上半年江民KV病毒预警中心监测数量显示，在电脑用户感染数量较多的前10名病毒中，Adware类灰色软件占了5个，在整个发作病毒总数中占了8.01%的比例，数量十分惊人。灰色软件除了通过QQ进行群发带毒链接等途径传播外，还呈现了助借木马病毒进行传播的新特征。3月14日，江民反病毒中心监测到，六款恶意软件捆绑在“安哥”（TrojanDropper.Agent.we）变种身上在互联网大肆传播，六款恶意软件分别为：海啸广告秘书、NewWeb收藏入侵者（SCIntruder）、傲讯浏览器插件、IEHelper插件（从yiqilai.com上下载广告信息）、鸿联网盟插件，还有一个病毒作者自己写的广告弹出木马。

　　四、微软WMF 0day漏洞频遭利用，多家网站被种植木马

　　微软在2005年12月份被暴出存在WMF漏洞后，2006年1月和2月该漏洞频遭病毒利用。网上最多发现利用该漏洞的恶意代码200多种，春节前后，江民反病毒研究中心监测发现多家网站被种植此类木马病毒，与此同时，网上众多网站都在公开售卖WMF木马生成器。WMF木马除了在各存在漏洞的网站"挂马"传播外，还通过"QQ尾巴"病毒传播。病毒通过QQ向在线好友发送带有病毒链接的信息，用户一旦点击该链接就会中毒。

　　五、病毒呈现绑架电脑数据敲诈钱财新趋势

　　2006年6月份，江民反病毒中心监测到国内首例通过隐藏电脑用户数据进行勒索钱财的敲诈病毒，虽然此类病毒在国外早有报道，但在国内尚属首次。“敲诈者”病毒通过恶意隐藏电脑用户常用的文档，然后要求中毒者向某指定账户打入一定数额的人民币购买其所谓的“正版序列号”进行数据恢复。目前该病毒已经出现多个变种，而且病毒源代码也被公布在网上，江民反病毒中心接到多例用户举报感染该病毒的求助报告。

　　六、U盘成病毒传播新途径

　　U盘的广泛应用为病毒的传播提供了温床，由于众多电脑用户通过接入U盘进行电脑数据互换，许多人在接入电脑前没有进行病毒扫描，病毒开始瞄准了这一空档藏身其中，成为电脑数据的一大杀手。今年1月份上半月，江民反病毒研究中心接到来自不同地区的用户反映，他们电脑中DOC格式的WORD文件突然神秘失踪，奇怪的是，存放DOC文件的文件夹却仍然存在，而且其它类型的文档文件如电子表格XLS、幻灯片PPT等却没有异常。经江民反病毒中心分析，用户受害的原因系感染了一名为“WORD文档杀手”（Trojan/DelDoc）新病毒，该病毒一旦发作，可以将office用户的WORD文档逐个删除，所有windows版本用户无一幸免。此病毒还能自我加载到U盘的自动运行文件里，这样，一旦用户将感染了该病毒的U盘接入电脑，WORD文档杀手病毒就会自动运行，导致所有WORD文档神秘失踪。(n101)