“套娃下载器9032”（PE.WYCao.a.9032），这是一个由汇编语言编写的感染型病毒。它能通过感染EXE文件和利用AUTO技术的方式传播。当进入用户系统，就会释放出下载器程序，建立下载行为，并感染更多正常文件。

　　“野狗下载器40960”（Win32.Hack.PcClient.40960），这是一个类似于机器狗的木马下载器。它会尝试用修改系统时间、解除主动防御、结束进程等方式，破坏多款安全软件的正常运行，然后下载大量的木马程序。

        “线上游戏窃取者变种OMK (Trojan.PSW.Win32.GameOL. omk)”病毒：警惕程度★★★，盗号木马病毒，通过网络传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个偷游戏密码的病毒。病毒运行后会在System32路径下释放病毒文件,改写注册表项实现自启动。病毒会把动态库注入到Explorer.exe进程中并查找进程中是否存在游戏进程，当找到游戏进程时，把自己注到游戏进程中，获取用户输入的账号密码并发送到指定的网址。运行完毕之后，该病毒还会删除自身，逃避杀毒软件的查杀。

病毒名称：Trojan/FlyStudio.af

　　中 文 名：“苍蝇贼”变种af

　　病毒长度：133632字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/FlyStudio.af“苍蝇贼”变种af是“苍蝇贼”木马家族的最新成员之一，采用高级语言编写，由其它病毒程序释放出来的，一般被注入到“IEXPLORE.EXE”进程中加载运行，隐藏自我，防止被查杀。“苍蝇贼”变种af运行后，在被感染计算机系统后台秘密监视用户的键盘输入，窃取用户输入的账号及密码等信息，给用户带来一定程度的损失。在后台秘密连接骇客指定的服务器站点，侦听骇客指令，在被感染的计算机上进行恶意操作，骇客可通过“苍蝇贼”变种af远程控制被感染计算机系统，给用户的计算机安全、个人隐私，甚至商业机密造成严重威胁。

　　病毒名称：Trojan/Delf.ejn

　　中 文 名：“Trojan/Delf”变种ejn

　　病毒长度：459264字节

　　病毒类型：木马

　　危害等级：★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Delf.ejn“Trojan/Delf”变种ejn是“Trojan/Delf”木马家族的最新成员之一，采用Delphi语言编写。“Trojan/Delf”变种ejn运行后，自我复制到被感染计算机系统“%SystemRoot%\”目录下，重命名为“Exprer.exe”。自我复制到“%SystemRoot%\system32\”目录下，重命名为“Exporer.exe”。在所有移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件，可能将木马主程序重命名为“个人小日记.exe”、“你说这是我的错吗.exe”等，利用U盘等移动存储设备进行传播。强行篡改用户的浏览器设置，将默认首页修改为指定站点，影响用户的正常使用。另外，“Trojan/Delf”变种ejn可能会查找并强行关闭被感染计算机上某些安全软件，大大降低了被感染计算机上的安全性。

　　一、“套娃下载器9032”（PE.WYCao.a.9032） 威胁级别：★

　　这个病毒由于同时采取感染和AUTO两种方式，传播的速度较快。在进入了用户电脑、并且被激活后，它就搜寻电脑中的正常exe文件，将自己附加到它们的前面，实现感染。并且像套娃一样，释放出另一个病毒文件windows.ext。

　　严格的说，这个病毒只是一个纯粹的感染工具。它真正的实现下载行为，是依靠由它释放出的Windows.ext这个文件，这个文件才是下载器程序。Windows.ext的真实身份是Win32.Troj.Autorun.978944下载器。它被释放出来后，就在全部的磁盘分区中建立AUTO文件，以提高整个病毒的传播效率。

　　同时，Windows.ext会在后台悄悄连接远程地址，下载其它病毒文件执行。经毒霸反病毒工程师检查，它所下载的是一些盗号木马，如果顺利进入用户电脑，可能会给用户的虚拟财产造成损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http：//vi.duba.net/virus/pe-wycao-9032-50784.html

　　二、“野狗下载器40960”（Win32.Hack.PcClient.40960） 威胁级别：★★

　　机器狗病毒的新变种已经很久没有在我们的视线中出现。但很多与它类似的木马下载器依旧不断冒头。此篇播报中的就是这样一个病毒。它同样拥有大量的变种。

　　病毒在进入用户电脑后，会马上获取当前进程，把进程权限提升为管理员权限，获取原始的SSDT服务函数，将SSDT表恢复，从而让一些杀毒软件的主动防御功能失效。同时，它修改系统时间为2000年，让卡巴斯基等依赖系统时间进行升级和激活的杀毒软件失效。

　　另外它还尝试搜索并关闭杀毒软件金山毒霸、瑞星，以及安全辅助软件360的进程。

　　当完成以上步骤，病毒便释放出自己的代码，注入系统桌面explorer.exe，悄悄在后台启动IE浏览器的进程，连接http：/ /w**a.xst2.cn这个由病毒作者指定的远程地址，下载一份病毒列表，再根据列表中的地址下载数量惊人的网游、网银盗号木马。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http：//vi.duba.net/virus/win32-hack-pcclient-40960-50785.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月5的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http：//www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

　　本文使用海纳锐利编辑并转载, 版权归原作者所有。