“盗号记录器91648”（Win32.Troj.OnlineGameT.uv.91648），这是一个盗号木马程序。它的主要目标是各类网络游戏的帐号信息，但也能盗取其它看上去像是帐号信息的数据。该毒具有一定的对抗能力，会关闭一些常见的安全软件。

　　“木马下载器5756”（Win32.Parite.b.5756），这是一个木马下载器。它会关闭用户系统中的安全软件，并劫持大量的可执行文件，然后从网上下载其它木马到中毒电脑中运行。

　　一、“盗号记录器91648”（Win32.Troj.OnlineGameT.uv.91648） 威胁级别：★

　　这个病毒最近出现较多变种，且作案频率上升较快。

　　该毒进入系统后，会在系统盘%WINDOWS%\SYSTEM32\目录下释放出病毒文件olemdb32.dl_、olemdb32.dll、zyzxjime.dll。其中zyzxjime.dll其实是病毒主文件，它稍后就会被写入系统注册表启动项，帮助整个病毒实现开机自启动。

　　病毒文件一被释放出来，就遍历全部磁盘，搜索电脑是否安装有常见的安全软件，如有则将它们关闭。接着便建立全盘监视，记录用户通过鼠标、键盘输入的各种看上去像帐号和密码的数据。

　　接着，病毒悄悄连接作者指定的远程地址http://d*3.t***kl.info/，上传记录到的信息。同时下载其它病毒文件。

　　该病毒变种增加速度极快，很明显，病毒作者使用了批量生成工具。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamet-uv-91648-50696.html

　　二、“木马下载器5756”（Win32.Parite.b.5756） 威胁级别：★

　　病毒进入用户电脑，就将自己的文件bya0999.tmp释放到%WINDOWS%\TEMP\文件夹中。并修改系统注册表启动项，让自己能够在开机时自动运行起来。

　　当跑起来后，病毒会将自己注入到系统桌面进程Explorer.exe中，实现隐蔽运行。同时，它按照病毒作者配置的黑名单在用户电脑中枚举和关闭目前流行的安全软件。它还会映像劫持系统中的一些exe可执行文件。

　　当解决掉“保安”，病毒就在后台悄悄连接http://h*ha.y***ao09.com 和h*ha.y**u02.com等多个由病毒作者指定的地址，下载多份病毒列表，根据其中的地址去下载更多的其它木马文件到用户电脑中执行，引起更多无法估计的破坏。

　　此外，病毒还会建立键盘和鼠标监视，记录用户在电脑中输入的信息，在下载木马的同时，把这些信息也发送给病毒作者。

　　　“灰鸽子变种BMP（Backdoor.Win32.Gpigeon2007. bmp）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

          病毒名称：TrojanDownloader.Losabel.as

　　中 文 名：“露萨”变种as

　　病毒长度：34773字节

　　病毒类型：木马下载器

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanDownloader.Losabel.as“露萨”变种as是“露萨”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳处理。“露萨”变种as运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“vistaAA.exe”。将其添加为启动项，实现木马开机自动运行。在被感染计算机系统的后台连接骇客指定站点，获取恶意程序的下载地址列表，并下载所有的恶意程序。所下载的恶意程序可能是窃取网络游戏帐户的木马、广告程序、后门等，给用户带来不同程度的损失。强行篡改注册表，实现进程映像劫持，导致用户运行某些安全程序时实际上运行的是“露萨”变种as，甚至系统自带的任务管理器也无法正常运行。在被感染计算机系统的后台秘密监视正在运行的进程名和已打开的窗口标题，一旦发现某些安全软件程序正在运行，马上将其强行关闭。破坏注册表项，致使无法显示隐藏文件。遍历用户计算机的C到Z驱动器，创建病毒副本，利用U盘、移动硬盘等移动设备进行传播。“露萨”变种as执行安装程序完毕后会自我删除。另外，“露萨”变种as还可以自升级。

　　病毒名称：Trojan/Vaklik.la

　　中 文 名：“伪颗粒”变种la

　　病毒长度：114556字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Vaklik.la“伪颗粒”变种la是“伪颗粒”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“伪颗粒”变种la运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下并重新命名为“mmvo.exe”。修改注册表，实现木马开机自动运行。在“%SystemRoot%\system32\”目录下释放一个恶意DLL组件文件“mmvo0.DLL”，并将其插入到“explorer.exe”进程中加载运行，隐藏自我，防止被查杀。在所有盘符根目录下创建“autorun.inf”文件和病毒文件“qvimi.exe”，实现双击盘符启动“伪颗粒”变种la运行。在后台秘密监视用户打开的窗口标题，盗取网络游戏玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。