<b>1, 病毒名称：Worm/Viking </b>

　　变种数量: 520 

　　累计感染计算机: 446450 

　　累计感染文件: 36728393 

　　病毒中文名：“威金蠕虫” 

　　病毒类型：蠕虫 

　　危险级别：★★★☆ 

　　影响平台：Win2003/XP/2000/NT/9x/ME 

　　描述：威金蠕虫感染Windows可执行文件，并会查找局域网中所有的共享计算机，尝试猜解它们的密码，试图感染这些计算机。该病毒还会自动在后台下载并窃取网络游戏玩家的账号和密码，并发送给黑客。同时，该病毒还会下载一个QQ病毒，自动向用户的QQ好友发送内容为“看看啊。我最近的照片～才扫描到QQ相册上的!”的消息并附带一个网址，其他用户点击消息中的网址就可能被病毒感染。 

<b>2,病毒名称： Backdoor/Huigezi </b>

　　变种数: 13379 

　　累计感染计算机: 897592 

　　累计上报次数: 6392600 

　　病毒中文名：“灰鸽子后门” 

　　病毒类型：后门 

　　危险级别：★☆ 

　　影响平台： Win 9X/ME/NT/2000/XP/2003 

　　描述：Backdoor/Huigezi.2006.ekr“灰鸽子2006”变种ekr是一个未经授权远程访问用户计算机的后门。“灰鸽子2006”变种ekr运行后，自我复制到系统目录下。修改注册表，实现开机自启。侦听黑客指令，记录键击，盗取用户机密信息（例如，拨号上网密码，URL密码，共享密码）。另外，“灰鸽子2006”变种ekr还可以下载并执行特定文件，开启或关闭CD-ROM等。 

<b>3,病毒名称：Adware/QQHelper </b>

　　变种数：1983 

　　累计感染计算机: 1582345 

　　累计上报次数: 4483989 

　　病毒中文名：“多多QQ表情” 

　　病毒类型：间谍软件 

　　危险级别：★★★☆ 

　　影响平台： Win 9X/ME/NT/2000/XP 

　　描述：“QQ多表情”变种是一个间谍广告软件，由VC++.NET工具编写，随着QQ多表情软件安装到用户电脑中，生成文件：C:\Windows\system32\res.exe该程序采用RootKit 技术隐藏自身进程，会干扰IE的正常运行，使系统的的运行速度变慢。 

<b>4, 病毒名称：Trojan/PSW.QQPass </b>

　　变种数: 1414 

　　累计感染计算机: 615901 

　　累计上报次数: 4580158 

　　病毒中文名：“QQ盗号木马” 

　　病毒类型：木马 

　　危险级别：★ 

　　影响平台：Win9X/2000/XP/NT/Me 

　　描述： Trojan/QQPass.ak是用Delphi编写并经UPX压缩的木马，用来窃取游戏"传奇"信息。 

　　传播过程及特征： 

　　1.创建下列文件： 

　　%System%\winsocks.dll, 91136字节 

　　%Windir%\intren0t.exe, 91136字节 

　　2.修改注册表： 

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 

　　"Intren0t" = %Windir%\intren0t.exe 

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] 

　　"Intren0t" = %Windir%\intren0t.exe 

　　这样，在Windows启动时，病毒就可以自动执行。 

　　注：%Windir%为变量，一般为C:\Windows 或 C:\Winnt； 

　　%System%为变量，一般为C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), 

　　或 C:\Windows\System32 (Windows XP)。 

<b>5, 病毒名称： Trojan/PSW.LMir </b>

　　变种数: 1896 

　　累计感染计算机: 739169 

　　累计上报次数: 4033649 

　　病毒中文名：“传奇窃贼” 

　　病毒类型：木马 

　　危险级别：★ 

　　影响平台： Win 9x/2000/XP/NT/Me 

　　描述：传奇窃贼是专门窃取网络游戏“传奇2”登录帐号密码的木马程序。该木马运行后，主程序文件自己复制到系统目录下。修改注册表，实现开机自启。终止某些防火墙、杀毒软件进程。病毒进程被终止后，会自动重启。窃取“传奇2”帐号密码，并将盗取的信息发送给黑客。 

<b>6, 病毒名称：Adware/Adload (埃得罗) </b>

　　变种数量: 535 

　　累计感染计算机: 433920 

　　累计上报次数: 1288152 

　　病毒中文名：“埃得罗” 

　　病毒类型：木马 

　　危险级别：★☆ 

　　影响平台：Win2003/XP/2000/NT/9x/ME 

　　描述：这是一个广告程序，该病毒在目标系统中生成病毒文件。%System%inituser.exe运行时将资源段中的代码注入explorer.exe。该病毒尝试下载其他文件，并会收集客户机的信息。 

<b>7, 病毒名称：Trojan/PSW.GamePass </b>

　　变种数量: 510 

　　累计感染计算机: 157846 

　　累计上报次数: 1095735 

　　病毒中文名：“落雪木马” 

　　病毒类型：木马 

　　危险级别：★☆ 

　　影响平台：Win2003/XP/2000/NT/9x/ME 

　　描述：“落雪”木马也叫“游戏大盗”，由VB 程序语言编写，通过 nSPack 3.1 加壳处理（即通常所说的“北斗壳”North Star），该木马文件图标一般是红色的图案，伪装成网络游戏的登陆器。病毒运行后，在C盘program file以及windows目录下生成winlogon.exe、regedit.com等14个病毒文件，病毒文件之多比较少见，，事实上这14个不同文件名的病毒文件系同一种文件。病毒文件名被模拟成正常的系统工具名称，但是文件扩展名变成了 .com。这是病毒利用了Windows操作系统执行.com文件的优先级比EXE文件高的特性，这样，当用户调用系统配置文件Msconfig.exe的时候，一般习惯上输入 Msconfig，而这是执行的并不是微软的Msconfig.exe程序，而是病毒文件 Msconfig.com ，病毒作者的“良苦用心”由此可见。病毒另一狡诈之处还有，病毒还创建一名为winlogon.exe的进程，并把 winlogon.exe 的路径指向c:\windows\winlogon.exe，而正常的系统进程路径是C:\WINDOWS\system32\ winlogon.exe，以此达到迷惑用户的目的。除了在C盘下生成很多病毒文件外，病毒还修改注册表文件关联，每当用户点击html文件时，都会运行病毒。此外，病毒还在D盘下生成一个自动运行批处理文件，这样即使C盘目录下的病毒文件被清除，当用户打开D盘时，病毒仍然被激活运行。 

<b>8,病毒名称： TrojanSpy.Banker </b>

　　变种数: 210 

　　累计感染计算机: 42838 

　　累计上报次数: 864276 

　　病毒中文名：“工行钓鱼木马” 

　　病毒类型：木马 

　　危险级别：★★★ 

　　影响平台：Windows 98/ME/NT/2000/XP/2003 

　　描述：这是一个十分狡猾的盗取网上银行密码的木马病毒。病毒运行后，在系统目录下生成svchost.exe文件，然后修改注册表启动项以使病毒文件随操作系统同时运行。 病毒运行后，会监视微软IE浏览器正在访问的网页，如果发现用户在工行网上银行个人银行登录页面上输入了帐号、密码，并进行了提交，就会弹出伪造的IE窗，内容如下： “为了给您提供更加优良的电子银行服务，6月25日我行对电子银行系统进行了升级。请您务必修改以上信息！”病毒以此诱骗用户重新输入密码，并将窃取到的密码通过邮件发送到一个指定的163信箱。该病毒同时还会下载灰鸽子后门病毒，感染灰鸽子的用户系统将被黑客远程完全控制。 

<b>9, 病毒名称：Backdoor/HookSSDT </b>

　　变种数量: 35 

　　累计感染计算机: 123404 

　　累计上报次数: 196468 

　　病毒中文名：“隐形门” 

　　病毒类型：后门 

　　危险级别：★★ 

　　影响平台：Win2003/XP/2000/NT/9x/ME 

　　描述：Backdoor/HookSSDT.b“隐形门”可开启用户计算机的后门，篡改Windows系统文件，导致任务管理器等一些程序显示错误信息。利用rootkit隐藏自我，防止被查杀。 

<b>10,病毒名称： I-Worm/Warezov </b>

　　变种数量: 633 

　　累计感染计算机: 20351 

　　累计上报次数: 227240 

　　病毒中文名：“龌龊虫” 

　　病毒类型：蠕虫 

　　危险级别：★★ 

　　影响平台：win 9x/me/nt/2000/xp/2003 

　　描述：i-worm/warezov.ja“龌龊虫”变种ja是一个利用群发带毒邮件进行传播的网络蠕虫。“龌龊虫”变种ja运行后，自我复制到系统目录下，文件名由10个任意字母组成，后缀是.exe。弹出虚假升级成功信息框。修改注册表，实现开机自启。在Windows目录下释放病毒文件。强行篡改ie浏览器设置，连接指定站点，下载病毒文件。从被感染计算机上搜索有效邮箱地址，群发带毒邮件。 

　　此外，2006年计算机病毒还呈现出以下六大特征： 

　　一、 经济利益驱使计算机病毒技术不断突破 

　　“经济利益”成为目前病毒制造者不断追求技术突破的源动力，受此利益驱使，2006年电脑病毒的感染率呈爆炸式增长，网络经济犯罪率不断增加，病毒的绝大部份变化都是围绕此中心展开的。而且病毒制造者已经不仅仅是玩技术的“黑客”，已经演变成有经济基础，有组织，有目的的网络攻击，从而网络犯罪率急剧攀升，一个职业网上经济盗窃行业悄悄地诞生，有人偷窥别人隐私，盗取别人的银行帐号、密码，有人想获取免费的游戏装备，有人偷取别人的QQ帐号，Q币，有人想提高网站流量，捆绑强制安装，无法卸载……，在巨大的经济利益诱惑下，病毒制造者的技术力量也有了飞跃式的发展。 

　　ROOTKIT隐藏技术以及对抗杀毒软件技术被广泛应用。“灰鸽子”及其变种使用Rootkit技术自我隐藏，包括病毒文件、注册表键值等等都可以被隐藏，普通用户很难发现。“威金”病毒、“落雪”木马及其变种全部具有对抗反病毒软件的功能，能终止多款国内外知名的杀毒软件。除此之外，2006年传播十分广泛的流氓软件技术也不断升级，这些软件为了牟利，已经不仅仅局限于使用小程序，还借助木马病毒进行传播。 

　　2006年被江民反病毒中心率先截获的国内首例敲诈病毒，通过隐藏用户硬盘数据造成造成用户数据“丢失”的假象，敲诈用户的钱财，给中毒电脑用户带来巨大的精神和财产损失，可见病毒制造者的牟利目的已经十分明显。 

　　二、微软0DAY漏洞频繁爆出 引发病毒攻击 

　　2006年微软总共发布安全补丁数量达到78个，创下了新记录，比2002年的72个还多6个,其中“Oday”攻击漏洞成为主要的增长点。 2006年春节前后，早在2005年12月份就被曝光的WMF漏洞成2006年电脑安全第一场噩梦。 2006年12月28日，江民反病毒中心监测到，Windows在处理特殊WMF文件(也就是图元文件)时存在问题，可以导致远程代码执行，如果用户使用Windows图片传真查看程序打开恶意WMF文件，甚至在资源管理器中预览恶意WMF时，也都存在代码执行漏洞。2006年8月13日，江民公司反病毒中心发布紧急病毒警报，一利用微软5天前刚刚发布的MS06-040漏洞传播的“魔鬼波”（Backdoor/Mocbot.b）蠕虫现身互联网，感染该蠕虫的计算机将被黑客远程完全控制。8月24日， “瑞波”（Backdoor/RBot）蠕虫新变种同样利用微软的MS06-040等多种系统漏洞大肆传播。微软0DAY漏洞成为病毒制造者的乐园。 

　　三、网银病毒迅猛增长 两年增600倍 

　　从2004年8月到2006年10月期间，全国感染各类网银木马及其变种的用户数量增长了600倍，用户每月感染病毒及其变种的数量约有160种左右，而且病毒发展正在呈加速上升趋势。江民反病毒专家介绍，2004年全国被网银木马感染的计算机数量只有60台，2005年为1100台，而在2006年前10个月，已经有超过37000台电脑感染过网银木马，3年时间国内用户被网银木马感染的数量增长了600倍。 

　　四、病毒传播呈现新特征，锁定目标定向传播 

　　病毒的传播不再是盲目的、无目的的传播，而是针对可能获取利益的群体进行定向传播。比如06年的光大证券被挂网银木马事件，网银在线被挂黑洞病毒事件，病毒制造者的目标都对准了那些股民以及经常使用网上银行的用户。其它象盗取网络游戏的木马一般在网络游戏论坛、游戏中、外挂网站等处进行传播，或通过攻陷相关网站在网页挂马，或发布带毒帖子和链接，或者发布带病毒的游戏外挂。 

　　五、病毒变种快、更新快、存活能力强 

　　2006年各种木马病毒变种都非常多，老木马“灰鸽子”，几乎每天都会有10多个不同的变种，迄今为止共出现了13379种变种。而在江民科技的样本上报系统中，威金病毒最多一天竟然有292个不同的变种。 

　　2006年，很多木马都具有自升级功能，可以迅速的在较短的时间内更新自身，防止被杀病毒软件查杀。更多的木马采用传统病毒的感染文件技术，甚至可以定向感染极少数的正常程序，使得即便自身被杀，仍然有机会死灰复燃。 

　　六、智能手机成病毒的下一个攻击目标 

　　随着智能手机的普及，利用智能手机上网浏览、下载彩铃、彩信、看电影的用户越来越多，应用的普及不可避免地带来安全隐患，据一项调查显示，2006年智能手机用户数量近4000万左右，而手机病毒也增长了450%。智能手机已经具备了与电脑几乎同样的功能，完全可以满足普通用户的日常应用需求，而智能手机丰富的通讯和数据交换功能也为病毒传播提供了可能，红外、蓝牙等无线技术为病毒传播提供了捷径，手机存储卡的应用及容量的不断增大为病毒提供了生存空间。彩信、彩玲、E-mail等都可能成为病毒的载体。2006年被截获的手机病毒预示着反病毒的下一个战场必将是智能手机和手持互联网终端设备。

<b>1、病毒名称：Backdoor/SdBot.atp.Rootkit</b>
中 文 名：“赛波”变种
病毒类型：后门
影响平台：Win 9x/2000/XP/NT/Me/2003

Backdoor/SdBot.atp.Rootkit 是一个利用网络共享弱密码进行传播的后门。病毒运行后，在系统目录下创建病毒主程序副本scvhvst.exe及csrs.exe。修改注册表，以实现后门程序随Windows的启动而启动。开启后门，通过IRC通道对被感染计算机进行远程控制。
扫描网络中的其它计算机，利用密码字典破解网络中其它计算机的共享帐号密码。进入其它计算机后，病毒主程序文件自我复制到其C盘及D盘目录下，并自动运行。 侦听黑客指令，可在被感染计算机上执行的操作有：获取被感染计算机系统信息；自动下载并执行黑客指定程序。
取消本地共享；终止指定进程；搜索被感染用户局域网内的其它计算机；利用被感染计算机发送邮件；盗取用户计算机上的游戏序列号。


<b>2、病毒名称： Backdoor/Huigezi</b>
中 文 名：灰鸽子
病毒类型：后门
影响平台：Win 9x/2000/XP/NT/Me/2003

Backdoor/Huigezi “灰鸽子”及其变种是一个可连接指定站点下载其他文件的后门，该后门可自我隐藏。“灰鸽子”运行后，自我复制到Windows目录下，并自行将安装程序删除。修改注册表，将病毒以"Gray_Pigeon_Server"为名注册为服务项实现开机自启。将病毒程序注入到所有的进程中，隐藏自我，防止被查杀。侦听黑客指令，在用户不知情的情况下连接指定站点，盗取用户信息、下载其它特定程序。

3、病毒名称： Exploit.MhtRedir
中 文 名：“MHT漏洞利用者”
病毒类型：木马
影响平台：Win 9x/2000/XP/NT/Me/2003

Exploit.MhtRedir.dno包含特殊格式的HTML代码，运行后可以下载程序并执行，而且不会有下载提示框出现，利用的是MHTML Exploit的IE安全系统漏洞。当我们访问包含此病毒的网站或HTML邮件时，就会直接下载文件然后自动运行。一般在下载文件时都会出现一个安全提示框，但病毒利用IE漏洞允许绕过此环节直接下载攻击者指定的特定文件。

<b>4、病毒名称：Trojan/QQMsg.Zigui</b>
中 文 名：“QQ龟”
病毒类型：木马
影响平台：Win 9x/2000/XP/NT/Me/2003

Trojan/QQMsg.Zigui “QQ龟”是一个木马程序，通过向QQ好友群发病毒程序文件进行传播。文件名极具欺骗性，甚至调侃脑白金广告 “今年过年不收礼，收礼只收白骨精（搞笑版广告）”，继而盗取用户机密信息，并将盗取的信息发送给黑客。
以往的利用QQ传播的木马常以发送带毒网页链接方式进行传播，很多用户已对QQ消息中的网址较为警惕，而此木马是自动发送带毒文件的，如同前一段时间爆发的“MSN性感鸡”病毒，且文件名更具欺骗性。当用户看到是自己的QQ好友传的文件，很有可能会中病毒的圈套。这也是导致该病毒近期感染面积非常大的原因之一。

<b>5、病毒名称：I-Worm/Mytob </b>
中 文 名：“麦涛”
病毒类型：网络蠕虫
影响平台：Win 9x/2000/XP/NT/Me/2003

　　I-Worm/Mytob “麦涛”是利用自带SMTP引擎群发带毒邮件的网络蠕虫，并利用多种系统漏洞传播，并试图利用msn向外发送病毒程序文件。该病毒自2月份以来，出现了约200个变种，还曾隐藏在高波变种中进行传播。被感染计算机会打开后门端口，可以被黑客完全控制。

<b>6、病毒名称：I-Worm/DropBot</b>
中文名：“MSN性感鸡”
病毒类型：蠕虫
影响平台：Windows NT/2000/XP

MSN性感鸡病毒I-Worm/MSN.DropBot是通过MSN传播的网络蠕虫，发作后显示一张烧鸡图片，可以释放出“罗伯特”后门病毒，“罗伯特”病毒可以使用户系统可被黑客完全控制，成为“僵尸电脑”，并能够通过多种系统漏洞和弱口令传播，感染能力极强。其后续变种发作时，会显示美女或牙刷等图片。

<b>7、病毒名称：Backdoor/PcClient</b>
中文名：“友好客户”
病毒类型：后门
影响平台：Win 9x/2000/XP/NT/Me

Backdoor/PcClient “友好客户”是一个后门，开启被感染计算机的后门，记录键击，盗取用户机密信息。“友好客户”运行后，在系统目录下和Windows目录下创建病毒文件。修改注册表，实现开机自启。将系统目录下的.d1l病毒文件注入到iexplore.exe的进程中，打开.sys病毒文件，隐藏自我，防止被查杀。开启TCP 6868和7777端口，侦听黑客指令，记录键击，盗取用户计算机系统信息，保存在Windows目录下。另外，“友好客户”还可以上传或下载特定文件。

<b>8、病毒名称：I-Worm/Zobot</b>
中文名：“极速波”
病毒类型： 网络蠕虫
影响平台：Win 2000/XP/2003

极速波是一个利用微软“即插即用服务代码执行漏洞”（MS05-039）的蠕虫病毒。该病毒利用最新漏洞传播，并且可以通过IRC接受黑客命令，致使被感染计算机被黑客完全控制。“极速波”运行后，在系统目录下创建病毒文件botzor.exe。修改注册表，实现开机自启。通过TCP 8080端口连接IRC服务器，侦听黑客指令，完全控制被感染的用户计算机。在TCP 33333端口开启FTP服务，提供病毒文件下载功能。修改hosts文件，屏蔽大量国外反病毒和安全厂商的网址。利用微软“即插即用服务远程代码执行漏洞”（MS05-039）进行传播。如果漏洞利用代码成功运行，将导致远程目标计算机从当前被感染计算机的FTP服务上下载病毒程序。如果漏洞代码没有成功运行，未打补丁的远程计算机可能会出现services.exe进程崩溃的现象。

<b>9、病毒名称：I-Worm/Sober</b>
中 文 名：“铁锁”
病毒类型： 网络蠕虫
影响平台：Win 9X/ME/NT/2000/XP/2003

I-Worm/Sober.s“铁锁”是一个网络蠕虫，从被感染的用户计算机上搜索有效的邮箱地址，群发带毒邮件。邮件附件是一个.exe文件，由VB编写，经UPX压缩。“铁锁”运行后，自我复制到Windows目录下，并创建大量病毒文件和空文件。屏幕显示虚假错误信息。修改注册表，实现开机自启。从被感染的用户计算机上搜索有效的邮箱地址，利用SMTP引擎群发带毒邮件。另外，“铁锁”还终止一些与安全相关的进程。

<b>10、病毒名称：Trojan/PSW.QQRobber</b>
中 文 名：“QQ大盗”
病毒类型：木马
影响平台：Win 9x/2000/XP/NT/Me/2003

Trojan/PSW.QQpass.ad“QQ大盗”是一个木马，文件大小12K。“QQ大盗”运行后，从指定站点自动下载并运行多个木马程序。被下载的木马常用来盗取QQ号和密码。

1、“震荡波”及变种（I-Worm/Sasser）

2004年的"毒王"宝座最终被“震荡波”病毒夺得。2004年"五一"期间及其后的短短的十几天内，一个叫“震荡波”的蠕虫病毒席卷了全世界，数千万的电脑瘫痪，数亿的财产在这次浩劫中付诸东流。“震荡波”一夜之间成为家喻户晓的病毒，至今许多电脑用户仍心有余悸，其毒性之大，造成后果之严重堪称2004年之最。

“震荡波”病毒自2004年5月1日首次被截获以来，短短几天席卷全球，12天之内接连出现6个变种。“震荡波”由18岁的德国少年斯文·扬森编写，该病毒跟2003年的"冲击波"病毒非常类似，同属于的网络蠕虫，感染Windows 2000、Windows Server 2003、Windows XP系统，它是利用微软的MS04-011漏洞，通过互联网进行传播，但不通过邮件传播。蠕虫能自动在网络上搜索含有漏洞的系统，在含有漏洞的系统的TCP端口5554建立FTP文件服务器，自动创建FTP脚本文件，并运行该脚本，该脚本能自动引导被感染的机器下载执行蠕虫程序，用户一旦感染后，病毒将从TCP的1068端口开始搜寻可能传播的IP地址，系统将开启上百个线程去攻击他人，造成计算机运行异常缓慢、网络不畅通，并让系统不停重新启动。

2、网络天空及变种

2004年2月19日网络天空病毒（I-Worm/NetSky.b）被首次截获后，至今的9个月内，该病毒几乎每天都以最高上报率和最高爆发率蝉联病毒榜榜首。“网络天空” （I-Worm/NetSky）及变种均通过网络传播的蠕虫，感染病毒后，病毒首先在Windir创建自身文件，有时还会在共享文件夹中生成自身拷贝，并修改注册表启动项，使病毒在Windows启动时就得以运行，甚至会试图删除多个重要的注册表键值，达到影响系统运行的目的。该病毒在感染计算机的硬盘和网络映射驱动器上搜索电子邮件地址，利用其自带的SMTP引擎通过发送电子邮件传播。带毒电子邮件的主题、内容和附件名称随机变化，根据收信人邮件地址的域名，使用包括英语、法语、意大利语等共9种不同语言。病毒在被感染计算机上打开后门端口，接收并运行黑客发送的任何程序文件并会在特定期间对某些网站发动拒绝服务（DoS）攻击。该病毒的表现形式也非常跟随潮流，它通过网络的邮件来传播，甚至充当震荡波变种b的专杀工具。同时也还能伪装成一些非常流行的病毒的专杀工具，它们是大名鼎鼎的：冲击波、MYDOOM、雏鹰等网络蠕虫。

3、网银大盗及其变种

“网银大盗”是2004年上半年产生的以专门偷窃资金为目的的木马病毒，从4月到7月的3个月间出现3次变种，作者并非同一人，但危害程度和目的性如出一辙。由于发现及时，网银大盗并没有造成很大经济损失，但是其偷窃亿万网上资产的险恶用心可谓歹毒。根据其巨大的潜在危害性，网银大盗位列2004年10大病毒三甲。

2004年4月18日、19日，江民反病毒中心接连截获“网银大盗”（Trojan/PSW.HidWebmon.a）木马及变种Trojan/PSW.HidWebmon.b。该木马偷取中国工商银行个人网上银行的帐号和密码。用户电脑感染木马后，木马首先在 用户计算机中创建expl0er.exe本身文件，还创建expl0er.dll挂钩和发信模块dll文件，并修改注册表，木马在系统启动时就可以运行。病毒运行后会调用expl0er.dll，设置消息挂钩。Expl0er.dll和病毒主程序之间通过一块共享内存交换数据。病毒主程序开启2个计时器，计时器1每隔3秒钟检查是否有常用反病毒和防火墙软件运行，一旦发现则立即终止这些进程，同时还自动回写病毒注册表项和病毒文件。计时器2每隔0.5秒搜索用户的IE窗口，如果发现用户正在"个人网上银行"的登陆界面，则尝试窃取注册卡号和密码。一旦成功，就把窃取到的信息保存到共享内存中。Expl0er.dll被设置成消息挂钩后，用户对窗口的任何操作都会激活病毒代码。它将尝试连接某网站，用以判断当前网络是否接通。如果连接成功，就会把共享内存中保存的用户帐号和密码通过电子邮件发送给病毒作者。

4、挪威客病毒

“挪威客”病毒，可称为2004年十大病毒的"急先锋"，从年初开始，几乎是伴随电脑用户时间最长的病毒，其危害性和顽固性也不逊色于网络天空，很长一段时间，他是用户上报最多的病毒，但由于其爆发总量少于网络天空，屈居第四名。

2004年1月27日， “挪威客”（I-WORM/Novarg后为I-Worm/Mydoom）蠕虫病毒首次被截获，病毒运行后，在Windows目录下生成自身的拷贝，使用Word的图标，并在共享文件夹中生成自身拷贝，病毒修改注册表项，使得自身能够在系统启动时自动运行。病毒运行后随机删除从C到Z的所有驱动器中以.mdb .doc .xls .sav .jpg .avi .bmp为后缀名的文件，并在删除文件夹下生成.ZIP为后缀的病毒体。蠕虫程序利用自身的SMTP引擎，搜索有效的邮件地址，发送自身，发送蠕虫的邮件的主题、发件人、甚至附件的名称等都是随机变化的，病毒本身是一个可执行文件，可能包含在一个ZIP压缩包里。计算机感染病毒后，会设置后门，开放TCP 端口，允许攻击者连接此计算机并利用一个代理获得访问网络资源的权限，后门程序还可以下载和执行任意的文件。该蠕虫还有可能通过Kazza共享程序来传播自身。

5、“雏鹰”病毒及其变种

“雏鹰”病毒可算作2004年病毒家族里的百变金刚，从首次被截获，到目前为止已出现数十个变种，病毒变种首次耗尽了26个字母，而不得不以I-Worm/BBEagle.ab的形式加以标别，最新的雏鹰变种已以AU命名。病毒每次变种都是为了躲避反病毒厂商追杀和进行更大范围的传播，入选2004年10大病毒实至名归。

2004年1月19日，“雏鹰” 蠕虫病毒首次被截获，有趣的是，在后期的变种中，“雏鹰”病毒作者和“网络天空”病毒作者互相指责对方盗窃了其病毒源代码，在向外传播的时候也不忘骂上几句，甚至变种I-Worm/BBEagle.o如果发现用户计算机已经感染了“网络天空”病毒，会自动将之清除。

该病毒利用电子邮件、文件共享软件（如Kazza, iMesh）、后门进行传播，感染病毒后，病毒将自身复制到名字包含"shar"字样的文件夹中，并把自己重命名，把自己的伪装为计算器、电子表格文件、钟表、文本文件、看图、播放、办公等类似的图标，在感染每个新文件时进行变形，使查杀难度增加。修改注册表键值，使自身可以在系统启动时运行，病毒运行后，搜索用户系统内所有合法电子邮件地址，并使用的自带的SMTP向这些地址发送带毒的电子邮件，其伪造的发信人地址和收信用户的邮件地址具有相同的域名称，以加密压缩包的形式，将自身隐藏在邮件附件中向外疯狂传播，更具欺骗性。病毒同时具有后门能力，在TCP端口2745打开后门，把在后门监听到的端口和IP地址发送给攻击者。后期变种病毒尝试结束绝大多数国外杀毒软件、防火墙、常用监控程序和某些病毒进程。

6、证券大盗

证券大盗是2004年病毒家族中的晚辈，11月25日刚出生不久则被截获。但是其巨大的潜在危害让人们不得不对其刮目相看。它的主要特征是隐蔽的偷盗性，能够盗窃股票帐号操纵交易，直接威胁资产数目之大不亚于“网银大盗”的危害。更为可恶的是，它将自己伪装成北京证券交易专业网站---------"首放"网的网页，让许多用户"误入歧途"。该病毒的狠辣之处还在于，其病毒作者将病毒网址在百度竞价排名排到第一位，许多不知内情的网上用户被骗。虽然证券大盗被没有造成数额非常巨大的损失，但根据媒体报道已经发现有证券资金丢失现象。"证券大盗"之毒，引起了有正义感的黑客团体的愤怒，就在其产生后的一周内，其网页被黑客黑掉了。

2004年11月25日，江民反病毒中心截获Trojan/PSW.Soufan特洛依木马病毒。该木马可以盗 取多家证券交易系统的交易帐户和密码。木马运行时寻找一些包含著名券商名称的窗口标题，如果发现就开始启动键盘钩子对用户登陆信息进行记录，包括用户名和密码。.在记录键盘信息的同时，通过屏幕快照将用户登陆时窗口画面保存为图片，存放于：c:Screen1.bmp、c:Screen2.bmp。当记录指定次数后，将3，4中记录的信息和图片通过电子邮件发送到webmaster@****.com.发送成功后，病毒进行自杀，将自身删除。

7、Win32/Parite病毒及变种

Win32/Parite及变种虽然破坏性不大但是以其广泛的传播范围和极高的爆发频率抢占了2004年度爆发率的第三名。 综合排名位列排行榜第七名。

这是一个靠邮件传播来感染的病毒，当该病毒进入用户邮箱后就会自动搜索邮件地址发送有毒邮件，收件方发现是朋友或业务伙伴发来的信往往会点击查阅导致中毒。目前，电子邮件成为办公、沟通的主要工具之一，使用频率之高大有逐步替代电话之势。电子邮件的频繁使用使得此类病毒暴发几率几何级增长，形成庞大的"病毒传播集团"。当然用户警惕性不高，不能及时开启杀毒软件监控系统也是中招的主要因素。

8、"卡勾"病毒及变种

国内病毒发展从泊来品到本土化再到地域化发展成为去年和今年病毒发展的一个明显走势，许多病毒只在小范围内传播，但是其爆发次数及感染范围却是"广域病毒都无可比拟的。位列第三季度十大病毒之一的"卡勾"（I-Worm/Korgo.v）就主要集中在北京地区爆发感染率达到90.55%。综合全年的病毒上报来看，该病毒也名列前茅仅次于网络天空和雏鹰，因此综合牌名与WIN32病毒并列第七位。

造成病毒各地区分布不均的其他原因主要有两条，第一是电脑及网络的普及率使然，第二是当地电脑用户的素质（病毒防护知识和警惕性）以及相关病毒防护措施的差异化造成的。

9、“超级密码杀手”病毒及变种

“超级密码杀手”（也叫“爱情后门”）也是个成员繁多的病毒族群，目前变种也已经超过26个字母的范围。超级密码杀手是个具有木马功能的蠕虫，它能够以最隐蔽的手法获得并复制目标数据库的密码，并进入。超级密码能够自动搜索并终止杀毒软件的运行，其潜在危害可见一斑，该病毒以其爆发频次和爆发后的危害性，排名病毒榜第九名。

"超级密码杀手"是群发邮件蠕虫，企图发送自身到在从感染计算机上找到的所有邮件地址。利用DCOM RPC 漏洞TCP端口135进行传播，还通过网络共享进行传播。邮件的发件人地址是伪造的，主题和邮件正文都是变化的。 它不但带有自发信模块向外狂发带毒邮件，而且能破解系统弱口令，并通过各种网络共享传播自身，更人严重的是，病毒入侵后，还会在电脑上开一个后门，黑客可以远程操纵进行任意操作。

超级密码杀手能够搜索所有的移 动硬盘（包括U盘等）和映射驱动器，将其中的.EXE文件的扩展名修改为.zmx，并设置为隐藏和系统属性，然后将病毒自身取代原文件。

10、PolyBoot（WYX.B）引导区病毒

PolyBoot（也叫WYX.B）是一种典型的感染主引导扇区和第一硬盘DOS引导区的内存驻留型和加密引导型病毒。这种感染方式与一般的引导型病毒是不太一样的。它也能感染软盘的引导区。这种病毒会把最初的引导区储存在不同位置，这取决于它是DBR、MBR还是软盘的引导区。它不会感染和破坏任何文件，但一旦发作，WYX.b发作后会将主引导区搬家移位至61扇区，并用一个错误的引导区或是乱码来覆盖0扇区，这样就会使硬盘所有的分区及数据丢失。感染对象可以是任何的平台包括：Windows,Unix,Linux,Macintosh等。

2003年全球十大危害严重的电脑病毒分别是：

1.“冲击波”（Worm.Blaster）；

2.“2003蠕虫王”(Worm.netkiller2003)；

3.“红色结束符”（Script.RedLof）；

4.“爱情后门”（Worm.Lovgate）；

5.“大无极”(Worm.Sobig)；

6.“小邮差”（Worm.Mimail）；

7.“求职信”（Worm.Klez）；

8.“劳拉”（win32.xorala）；

9.“垃圾桶”(Worm.Lentin)；

10.“FUNLOVE”（Win32.funlove）。

　　计算机安全方面的专家表示，2003年是世界公认的“电脑病毒年”。全球大部分地区都受到了计算机病毒不同程度的冲击，我国也不例外。多家信息安全厂商纷纷表示，以红色代码、Nimda为代表的具有里程碑式的病毒，融入了黑客特征，从此改写了病毒形态和病毒传播历史，迎来了混合型病毒的时代。其中，2003年初出现的轰动网络界的利用SQL漏洞传播的“Slammer”病毒、下半年使全球陷入“白色恐怖”的“冲击波”病毒均是混合型病毒。其中，漏洞攻击型病毒“冲击波”破坏网络系统和个人电脑程度最为严重，它曾经感染的主机数量超过40万，并一度导致加拿大航空系统瘫痪。因此，“冲击波”此番被评为全球危害最大的计算机病毒。

“武汉男生”，俗称“熊猫烧香”，这是一个感染型的蠕虫病毒，它能感染系统中exe，com，pif，src，html，asp等文件，它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件，该文件是一系统备份工具GHOST的备份文件，使用户的系统备份文件丢失。被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。