“武装下载器139264”（Win32.Troj.Agent.gh.139264），这是一个病毒下载器。它利用ATUO技术来传播，会劫持并删除大量杀毒软件和安全辅助软件，然后下载大量木马文件到用户电脑中运行。

　　“挂马蠕虫34304”（Win32.Troj.Downloader.c.34304），这是一个蠕虫病毒。该病毒运行后，会从指定的网络地址下载病毒程序，并且会攻击局域网内的其它机器，向它们发送恶意命令，让这些电脑也从网上下载病毒。

　“安德夫木马变种RM（Trojan.Win32.Undef. rm）”病毒：警惕程度★★★，木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个木马病毒。病毒运行后会将自身文件复制到系统目录下，并修改注册表启动项，实现随系统自启动。病毒会将自身注入到系统正常进程，给用户查杀病毒带来困难。此外，病毒会试图关闭多种杀毒软件和安全工具，并会纪录用户键盘和鼠标操作，窃取用户的网游的帐号、密码等隐私信息，并发送给黑客，使玩家蒙受损失。

　　一、“武装下载器139264”（Win32.Troj.Agent.gh.139264） 威胁级别：★★

　　这个病毒下载器为近期新出现，它可以利用AUTO文件件实现自动传播，作案频率迅速升高。病毒作者在对抗杀毒软件方面下了些功夫，使得该毒可以劫持大量的主流杀毒软件和安全辅助软件。

　　病毒进入用户电脑后，首先在系统盘的%WINDOWS%\system32\目录下释放出三个病毒文件，分别为liiuo.exe、uqppo.exe、uqppo.inf。然后，它修改注册表，禁止显示系统隐藏文件，并将uqppo.exe和liiuo.exe添加到启动项中，使自己实现开机自启动。

　　同时，为提高传播速度，病毒在所有的磁盘分区下生成AUTO文件liiuo.exe和autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，病毒就可以立即将其感染。

　　接着，病毒遍历磁盘，映像劫持大量杀毒软件和安全辅助软件，以及一些常被高级用户使用到的修复工具，比如卡巴斯基、毒霸等杀毒软件，以及360安全卫士、毒霸AV终结者专杀等安全辅助软件都在它的劫持名单中。同时，对另一些不适合做劫持的安全软件，它会采取直接关闭进程、删除其文件的办法。

　　如果确定完成了以上步骤，病毒就在后台悄悄连接病毒作者指定的网址http://qq.xt***uan.cn/cs/，下载一份名为inin.txt的病毒列表，根据其中的下载地址，下载20多个病毒文件。经毒霸反病毒工程师检查，这些病毒多为网游盗号木马。

　　关于此病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-agent-gh-139264-50682.html

　　二、“挂马蠕虫34304”（Win32.Troj.Downloader.c.34304） 威胁级别：★

　　这个病毒可以利用网页挂马和捆绑文件传播。

　　病毒在%WINDIR%\ SYSTEM32\目录下释放出文件tmipo.bat和taimpo.txt，并修改系统注册表，添加启动项。接着，它利用tmipo.bat建立批处理，关闭360安全卫士的进程。同时，利用大量的弱口令来尝试破解所入侵电脑的管理员权限，一旦成功，就会生成脚本病毒文件adi.vbs 。

　　该vbs脚本会从http://2*8.7*.91.248/这个由病毒作者指定的地址，下载另一个病毒文件。为迷惑用户，病毒会给它下载的文件命名为qq.exe。经毒霸反病毒工程师分析，这个被下载的病毒文件是个木马下载器，会下载更多的其它木马文件到用户系统中进行破坏。

　　同时，该病毒搜索局域网的的所有电脑，尝试破解它们的管理员权限，然后遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，在其文件尾部插入JS代码，代码地址为之前的http://2*8.7*.91.248/。这样，只要那些电脑的用户登录了染毒网页，就会自动下载病毒文件到电脑上。