“网络红娘变种364544”（Win32.Hack.RedGirl.m.364544），这是远程控制木马“网络红娘”的变种。它为了逃避杀毒软件的查杀，插入了大量垃圾指令，同时，将图标伪装为常见的安装文件图标。病毒被激活后，还会先打开一张图片，再去执行病毒代码。

        “梅勒斯木马下载器变种ANK（Trojan.DL.Win32.Mnless. ank）”病毒：警惕程度★★★，木马病毒，通过与其它木马结合的方式传播，依赖系统：Windows NT/2000/XP/2003。

　　这是一个木马下载器病毒。病毒运行后会把自身复制到系统目录下，加载后会从黑客指定网站下载各种盗号木马、病毒等恶意程序，在系统目录下保存病毒文件名为“safdsa.exe”，并在用户计算机上运行。同时，这些病毒都会修改注册表启动项，实现随系统自启动，给用户的查杀和正常使用计算机带来极大的不便。

　　“脚本下载器4156”（JS.Agent.ds.4156），这是一个脚本下载器程序。它会连接到指定的地址，下载其它病毒到用户电脑中运行，同时还会上传用户电脑的系统数据。

　　一、“网络红娘变种364544”（Win32.Hack.RedGirl.m.364544）? 威胁级别：★★

　　这个远程木马由来已久，但变种不断都有出现，而且新变种在对抗安全软件方面的能力，越来越强。

　　该毒在进入用户电脑后，是无法自动运行起来的，它必须由用户点击运行。为欺骗用户点击，它把自己伪装为一个安装文件图标，如果用户运行了它，它就弹出一张美女图片复制自身文件mywlhn.exe到系统盘%WINDOWS%\system32\目录中，并由该文件释放出另一个文件mywlhn.dat。

　　接着，它新建线程监视系统内金山毒霸、卡巴斯基、瑞星、微点等杀毒软件，入发现它们试图弹出警告窗口，就抢先模拟鼠标按键消息，点选放行选项，并将自己的病毒文件添加为“可信”。光是这样，病毒仍不放心，它下一步干脆直接关闭这些杀毒软件的进程。

　　在对付杀软的同时，病毒修改注册表实现自动启动，然后利用IE浏览器创建远程线程，加载之前生成的mywlhn.dat，用它来连接黑客指定的远程服务器，接收监控端命令，达到控制中毒电脑的目的。

病毒名称：Trojan/Hijack.bi

　　中 文 名：“劫持犯”变种bi

　　病毒长度：36368字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　Trojan/Hijack.bi“劫持犯”变种bi是“劫持犯”木马家族的最新成员之一，采用VC编写，并经过添加保护壳处理。“劫持犯”变种bi运行后，强行将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程，并将恶意代码注入到其中运行，实现反安全软件的功能，然后进行恶意操作。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放恶意驱动文件，文件名随机生成，并将文件属性设置为隐藏。驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的，驱动文件还可能会覆盖破坏系统程序“explorer.exe”，把恶意可执行代码写入到系统程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程，强行将其关闭。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。“劫持犯”变种bi会在被感染计算机系统的后台连接骇客指定站点，下载包括“系统杀手”、“ARP杀手”、“代理木马”、“机器狗”等大量木马病毒到用户计算机中安装运行，给用户带来极大的损失。“劫持犯”变种bi还会在任务执行完毕后，会马上关闭退出。在退出时，被注入恶意代码的系统“svchost.exe”进程会删除掉病毒所在磁盘中的文件，使用户无法寻找到该病毒样本。

　　病毒名称：TrojanProxy.Agent.axo

　　中 文 名：“代理木马”变种axo

　　病毒长度：35531字节

　　病毒类型：木马

　　危险级别：★★

　　影响平台：Win 9X/ME/NT/2000/XP/2003

　　TrojanProxy.Agent.axo“代理木马”变种axo是“代理木马”木马家族的最新成员之一，采用Delphi编写，并经过添加保护壳处理。“代理木马”变种axo运行后，自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下，重命名为“wfeoe.exe”和“yhiln.exe”，并将这两个文件添加为启动项，实现木马开机自动运行。提升自身权限，查找并强行关闭大量流行的安全软件，大大降低了被感染计算机上的安全性。强行调用某些安全软件自带的卸载程序，将被感染计算机上的安全软件卸载。强行篡改注册表，利用进程映像劫持功能禁止数百种安全软件及调试工具运行，致使用户计算机系统毫无安全保障。在被感染计算机硬盘各盘符根目录下以及移动存储设备根目录下创建“autorun.inf”文件和木马主程序文件“yhiln.exe”（属性为“系统、隐藏”），实现双击盘符启动“代理木马”变种axo目的，从而利用U盘、移动硬盘等移动设备进行自我传播。

　　二、“脚本下载器415”（JS.Agent.ds.4156）? 威胁级别：★

　　这个下载器程序是个脚本文件，它能够很方便的利用网页挂马进行传播。

　　病毒进入用户电脑后的运行不复杂，它会在系统盘%WINDOWS%\TEMP\目录下释放出文件oka0999.tmp，然后就修改注册表中的安全模块，让系统无法发出异常警告。

　　接着，病毒就运行起来。它连接到病毒作者指定的远程地址，上传用户电脑的系统信息，比如IP地址、系统版本等。并下载其它的一些病毒文件到用户电脑里执行。

　　此外，该毒有防止重复运行的功能，每当它成功入侵一台电脑，就会创建一个互斥体，防止自己的其它副本在此台电脑中重复运行，引起崩溃。