“vbs下载器12536”（VBS.UCCT.ed.12536），这是一个网页脚本文件下载者程序。它具有自动更新自身的功能，并且会试图关闭毒霸的实时监控。

　　“仙境传说盗号器122880”（Win32.Troj.Mapler.ae.122880），该病毒是网络游戏《仙境传说》的盗号木马。病毒运行后会衍生病毒文件至系统目录下，还会修改注册表生成启动项。最后盗取的账号信息并发送到木马种植者的邮箱当中。

　　一、“vbs下载器12536”（VBS.UCCT.ed.12536） 威胁级别：★★

　　这个下载器可利用网页挂马传播，传播速度较快。并且它具有对抗杀毒软件的能力。

　　病毒一进入电脑，就首先修改注册表的启动项实现开机自启动，并修改超级隐藏项，达到隐藏自身的目的。如果它完成这项工作，它释放到%WINDOWS%目录和%WINDOWS%\system32\目录下的`.vbe文件就能实现隐身，让用户无法找到。

　　病毒搜索进程，试图结束毒霸的kwatch.exe文件和ccenter.exe文件进程，保证它自身运行，但经毒霸反病毒工程师检验，该行为失败。

　　接着，它遍历全部磁盘分区，在它们的根目录下创建AUTO文件。这样，如果用户在中毒电脑上使用U盘等移动存储设备，病毒就能将其感染。

　　最后，病毒从作者指定的多个网址下载自身的更新版本和其它木马，引起更大规模的破坏。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/vbs-ucct-ed-12536-50748.html

　　二、“仙境传说盗号器122880”（Win32.Troj.Mapler.ae.122880） 威胁级别：★

　　病毒进入用户电脑后，在系统盘的%WINDOWS%\Help\下释放出病毒文件3394C72B3DC4.exe和3394C72B3DC4.dll。其中的exe文件是病毒主文件，会被写入注册表启动项，让病毒实现开机自启动。而dll文件负责盗号工作。

　　当顺利启动，病毒将dll文件注入桌面进程，搜索网游《仙境传说》的进程，注入其中，通过内存读取的方式获得用户的游戏帐号和密码。并发送到病毒作者指定的邮箱。

　　顺便提及，该毒具有自我删除的功能，运行完毕后就会删除自己的原始文件，减少被用户发现的可能。

　　病毒名称：Trojan/PSW.LMir.dax

　　中 文 名：“传奇窃贼”变种dax

　　病毒长度：47921字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/PSW.LMir.dax“传奇窃贼”变种dax是“传奇窃贼”木马家族的最新成员之一，采用Delphi语言编写，并经过加壳保护处理。“传奇窃贼”变种dax运行后，自我插入到被感染计算机的“explorer.exe”等系统进程中加载运行，隐藏自我，防止被查杀。修改注册表，实现木马开机自动运行。在被感染计算机系统的后台利用HOOK和内存截取等技术盗取网络游戏《热血传奇》玩家的游戏帐号、游戏密码、仓库密码、角色等级、金钱数量、所在区服、计算机名称等信息，并在后台将玩家信息发送到骇客指定的远程服务器上，致使《热血传奇》玩家的游戏帐号、装备物品、金钱等丢失，给游戏玩家带来非常大的损失。另外，“传奇窃贼”变种dax可躲避某些防火墙的监控。

　　病毒名称：TrojanSpy.Pophot.em

　　中 文 名：“焦点间谍”变种em

　　病毒长度：121344字节

　　病毒类型：间谍类木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanSpy.Pophot.em“焦点间谍”变种em是“焦点间谍”木马家族的最新成员之一，采用Delphi编写，由其它病毒程序释放出来的，一般被注入到“IEXPLORE.EXE”进程中加载运行，隐藏自我，防止被查杀。“焦点间谍”变种em运行后，强行篡改被感染计算机上的系统时间，致使某些安全软件失效。在被感染的计算机上搜索与安全相关的软件，一旦发现便强行将其关闭，大大降低了被感染计算机上的安全性。在后台连接骇客指定的远程服务器站点，下载恶意程序并在被感染计算机上自动调用运行，所下载的恶意程序大多为盗号类木马，给用户带来一定程度的危害。另外，“焦点间谍”变种em还会在各个盘符根目录下创建“autorun.inf”文件和病毒主体文件“auto.exe”，达到双击盘符启动“焦点间谍”变种em运行的目的。