对计算机安全领域来说，即将过去的2003年是一个名副其实的“病毒年”！这一年里，计算机病毒的数量，造成的危害，重大流行病毒出现的频度，被感染的计算机数量都远远超过了以往。形成了：旧病毒依旧“不死”，新病毒层出不穷，互联网危机重重，漏洞频被利用的鲜明特点。
　　我们根据杀毒厂商网站提供的的数据，按病毒的破坏大小、造成的损失、散播面积、生命周期，统计出2003年的10大病毒。今年全国90％以上的用户受到过这10个病毒的攻击。

1
2
3
4
5
6
7
8
9
10

冲击波（Worm.MsBlast）
巨无霸（Worm.Sobig）
蠕虫王（Worm.SQLexp）
QQ狩猎者（QQmsg各变种）
恶邮差（Worm.Supnot）
口令（Worm.DvLdr）
小邮差（Worm.Mimail）
妖怪（Wrom.Tanatos.b）
费氏（Worm.Fizzer）
求职信（Worm.wantjob）

常用别名：冲击波/冲击波克星，Blaster，Poza，Lovsan/Welchia，Nachi等 危害等级：

危害综述：
　　自金山反病毒中心于8月11日截获“Worm.MsBlast”这个利用微软今年7月公布的RPC漏洞的病毒以来，它在短短几天之内感染了国内几乎所有使用WinNT/2000/XP/2003的联网计算机。感染后的计算机出现粘贴、复制功能失效，不断提示重启，不能正常上网等现象，系统很快随之崩溃。病毒还尝试对 Windows Update站点发起“拒绝服务”（DoS）攻击，企图阻止用户下载相关漏洞的补丁程序。
　　该病毒出现后带动出一大批利用此漏洞的其他病毒，形成了一个较大的病毒家族。其中紧跟其后于8月18日出现的“冲击波克星”（Worm.KillMsBlast）病毒也广为流传。它一面试图清除“冲击波”（Worm.Msblast）病毒，在系统内种下简易预防代码，并尝试从微软网站下载补丁程序，为受感染的系统打上补丁。但该病毒紧接着就开启上百个线程疯狂探测IP地址，并通过RPC漏洞迅速传播自己，消耗大量CPU和网络资源，常常导致系统死机。

　　时至今日， 没有安装相应补丁程序的用户系统只要一联上网，很快就会受到这类病毒攻击。

相关文章：冲击波 (Worm.MSBlast)分析报告 冲击波（Worm.Blaster）病毒档案
　　 　　　冲击波[Worm.Blaster]病毒详细解决方案
专杀工具：瑞星“冲击波”专杀工具　警惕：防范“冲击波”专杀补丁下载　Duba_Sdbot(冲击波病毒专杀工具)

常用别名：“大无极”，“好大”，“霸王虫”等 危害等级：

危害综述：
　　 该病毒第一次出现在2003年1月10日，当时就产生了巨大影响。迄今已发展了6个变种，其中5、6月和9、10月的两度变种引起了大面积的垃圾邮件泛滥乃至网络瘫痪，大量邮件服务器无法工作，很多单位个人不能正常收发邮件和上网。由于该病毒后来的每个变种都有一个停止活动的时间点，因此在10月中下旬以后其影响才渐渐消失。
　　“巨无霸”是一种典型的利用电子邮件散播的病毒。它在被感染计算机里搜索.dbx，.eml，.hlp，.htm，.html，.mht，.wab，.txt等文件，从中提取电子邮件地址。然后伪装成admin@support.com，support@yahoo.com，bill@microsoft.com，support@microsoft.com，big@boss.com等发件人，向找到的地址群发带有病毒附件的邮件。邮件的主题，正文内容，附件名称非常具有欺骗性。

　　该病毒还试图从某些网站下载木马程序进一步控制用户计算机，同时也使用了去年流行蠕虫病毒常用的一些感染方式，如修改注册表，通过网络共享传播等。

相关文章：全方位透析“巨无霸”病毒　Sobig.f网络蠕虫技术分析报告
专杀工具：Duba_Sobig(巨无霸病毒专杀工具)　瑞星大无极(Worm.SoBig)病毒专杀工具　

常用别名：“SQL杀手”，SQL.helkerm，SQLSlammer，SQLP1434.A，Slammer，Sapphire等 危害等级：

危害综述：
　　2003年1月25日，全球互联网遭到“蠕虫王”病毒攻击，受其影响，国内80%以上的网民连续数日不能上网，大量公司单位的服务器被此病毒感染引起网络瘫痪。北美、欧洲、尤其是亚太地区的互联网均受到严重影响导致中断，给包括电信，金融，商业，票务预定在内的多个领域造成巨大损失。

　　“蠕虫王”病毒体极其短小，仅在内存中进行蔓延，攻击所有安装有Microsoft SQL Server的NT系列服务器（包括NT/2000/XP等），具有极强的传播性。未打补丁的SQL Server被感染后继续向其他SQL Server发送病毒，被感染的服务器又成为新的“毒源”，如此连锁反应，无数服务器瘫痪，网络带宽也被大量消耗，短短几小时就使得全球互联网瘫痪。

　　该病毒利用的是微软于2002年七月就发现的“Buffer Overruns in SQL Server 2000 Resolution Service Might Enable Code Execution”缓冲区溢出漏洞，该漏洞在2002年7月17日的MS02-039 补丁包中就已得到修正。

相关专题：SQL Slammer 蠕虫病毒防范公告
专杀下载：瑞星“2003蠕虫王”专杀工具

常用别名：“QQ尾巴”，“QQ林妹妹”，QQ 连发器，QQPass，QQ3344，QQktv530等。 危害等级：

危害综述：
　　今年4月中旬，首次截获了一个类似“爱情森林”一样自动向QQ里的好友发消息的病毒，命名为“狩猎者”。然而在随后的7个月里，该类型病毒不断推陈出新，至今已发展出不同类型的100多个变种，形成一个较大的病毒家族。

　　这类病毒发作时会寻找QQ窗口，向在线的好友发送诸如“快去这看看http://www.***.com，里面有蛮好的东西”之类的假消息，诱惑用户点击其中的网站链接。而病毒就潜伏在这些网站上，利用微软浏览器的IFrame漏洞感染打开网页的计算机，使之成为毒源，继续传播。同时许多变种还添加了多种传统病毒，木马，蠕虫的功能，或占用系统资源，或盗取用户帐号密码，或扩展传播方式，大量QQ用户深受其害。

　　该病毒利用的Iframe漏洞微软于2001年初公布，它曾经被许多流行病毒利用，如尼姆达、求职信等。

相关文章：清除QQ尾巴类自动发消息病毒　杀毒不求人:手工剪除“QQ尾巴”
专杀下载：QQ病毒专杀工具XP　QQ消息发送机病毒专杀工具

常用别名：“爱情后门”，“爱之门”，LovGate等 危害等级：

危害综述：
　　该病毒首次大规模爆发是在今年的2月18日，2月24日又出现一个类似的变种。3月下旬，该病毒又出现3个变种，增加了猜密码的功能。5月13日，该病毒再次大规模爆发，新变种完善了已有的功能，添加了感染可执行文件，反安全软件，监控内存，盗取信息等多种能力，此后又发展了多个变种，几乎使用了两年来PE病毒常用的各种技术，成为一种继“求职信”后，典型的集传统感染型病毒，蠕虫，木马黑客程序为一体的混和型病毒。许多邮件服务器都在极短时间内不堪重负而崩溃。

　　该系列病毒主要技术特点如下：A.改进的邮件传播方式，能够随机根据收件箱中的已有邮件向外传播自己，带毒邮件的主题和内容跟原始邮件有关；将病毒副本做为附件，附件名称随机，极具迷惑性。 B.释放木马到系统目录，以服务的形式运行，服务名称模仿系统正常服务；监听端口，允许黑客控制被感染的计算机，盗取用户帐号等信息。 C.修改注册表的启动项，txt和exe文件关联，win.ini文件。 D.搜寻本地网络共享目录，通过可写的共享目录感染。 E. 猜测局域网中NT/2000/XP机器的Administrator、Guest用户密码，一旦猜中就将自己复制到对方机器，然后伪装成类似“Microsoft NetWork FireWall Services”的服务运行。 F.感染EXE文件，寄生到可执行程序的头部。 G.运行一个监控进程，当病毒终止时立即重新装载，反复重写注册表，终止一些知名的反病毒软件。

相关专题：恶邮差"病毒的危害与防治　“爱情后门”现身网络
专杀工具：恶邮差专杀工具　Duba_Supnot(恶邮差病毒专杀工具)