“还原卡破坏者73728”（Win32.TrojDownloader.Agent.73728），这是一个木马下载者程序。该病毒运行后会修改系统文件、打开本地端口协议端口连接网络，然后下载病毒，并穿透电脑上安装的还原卡，运行病毒。

         “灰鸽子变种BNL（Backdoor.Win32.Gpigeon2007. bnl）”病毒：警惕程度★★★，后门病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

　　“华夏盗号器110799”（Win32.Troj.OnLineGamesT.ak.110799），该病毒是一个网游盗号木马的变种。它针对的是网络游戏《华夏Ⅱonline》。病毒运行后会盗取的账号信息，并通过网页提交的方式发送到木马种植者手上。

病毒名称：Trojan/Soul.t

　　中 文 名：“灵木马”变种t

　　病毒长度：85504字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Soul.t“灵木马”变种t是“灵木马”木马家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“灵木马”变种t运行后，自我复制到被感染计算机的“%SystemRoot%\system32\”目录下，重命名为“110.exe”，并在相同目录下释放病毒组件“Soul.dll”。自我注册为系统服务，实现木马开机自动运行。将恶意代码注入到系统进程中加载运行，隐藏自我，躲避某些杀毒软件的查杀以及防火墙的拦截。秘密连接骇客指定站点，骇客可通过“灵木马”变种t远程完全控制被感染的计算机，进行的恶意操作包括：文件操作、进程操作、注册表操作、服务操作、屏幕监控，键盘记录、命令操作等，给用户的个人隐私，甚至商业机密造成严重威胁。

　　病毒名称：Worm/Socks.d

　　中 文 名：“袜子虫”变种d

　　病毒长度：172032字节

　　病毒类型：蠕虫

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Worm/Socks.d“袜子虫”变种d是“袜子虫”蠕虫家族的最新成员之一，采用高级语言编写，并经过添加保护壳处理。“袜子虫”变种d运行后，在被感染计算机系统的“%SystemRoot%\system32\drivers\”目录下释放一个恶意的驱动程序文件“qandr.sys”。将“qandr.sys”注册为系统服务，实现蠕虫开机自动运行。利用Rootkit技术，采用“SSDT HOOK”技术挂接了系统中的“NtEnumerateKey”和“NtOpenKey”API函数，采用“FSD inline HOOK”技术挂接了系统文件过滤驱动中的“IRP_MJ_DIRECTORY_CONTROL”请求，隐藏自我，防止被查杀。一旦用户计算机感染该病毒则很难清除干净。“袜子虫”变种d可能是一个驱动级的后门程序，会给被感染计算机用户带来潜在的危险，同时会带去不同程度的损失。另外，“袜子虫”变种d会在系统临时文件夹下创建一个批处理程序文件，当恶意驱动程序文件“qandr.sys”安装完毕后调用这个批处理程序实现自我删除。

　　一、“还原卡破坏者73728”（Win32.TrojDownloader.Agent.73728）? 威胁级别：★★

　　这个下载器在对抗系统安全模块方面做了许多工作，它能绕开安全模块的监视，非法连接远程服务器，甚至还可以穿透还原卡。

　　病毒在进入电脑后，释放自己的文件tubv.exe到%WINDOWS%目录中。立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe，同时将正常的原文件复制到%WINDOWS%\system32\目录中。接着就运行起来，打开本地端口协议UDP端口。

　　然后，病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件，用它们删除病毒的原始文件和那个被修改过的explorer.exe，销毁自己到过电脑的证据。

　　完成以上工作后，该病毒利用打开的端口，连接病毒作者指定的地址http://jqm.htitm***.cn，下载一份病毒列表，再根据其中的地址，下载数十个其它病毒。经毒霸反病毒工程师检查，这些病毒都是各种个样的盗号木马。会盗窃多种网游和网银的帐号信息。

　　毒霸反病毒工程师还发现，该下载器针对网吧等场所的电脑，配备有对抗还原卡功能。它可以利用磁盘驱动技术，穿透还原卡保护，从而让自己所下载的这些木马长久地驻留在受害电脑中。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-agent-73728-50754.html

　　二、“华夏盗号器110799”（Win32.Troj.OnLineGamesT.ak.110799）? 威胁级别：★

　　这个病毒的作案原理比较简单，可被大多数安全软件查杀，但由于借助一些对抗型下载器进行传播，近来频繁现身。

　　病毒在用户系统中的操作步骤并不复杂，它首先把自己的文件hhrdxd.dll释放到系统盘%WINDOWS%\system32\目录中，并添加注册表启动项，实现开机自启动。

　　如果得以运行，病毒就将自己的文件注入系统桌面进程中，搜索《华夏Ⅱonline》的游戏进程，注入其中，读取游戏帐号和密码信息。如成功获得，便连接病毒作者指定的远程地址，将赃物一网页提交的方式发送过去。使玩家蒙受虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-onlinegamest-ak-110799-50755.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月2的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

　　本文使用海纳锐利编辑并转载, 版权归原作者所有。