一、“桌面幽灵变种oe”（Worm/Downloader.oe）威胁级别：★★
     
     “桌面幽灵变种oe”是“桌面幽灵”蠕虫家族的最新成员之一，采用VC++编写，并经过加壳处理。“桌面幽灵”变种oe运行后，自动检测自身进程是否被其它调试软件所调试分析，一旦发现便自动关闭退出。

     可能会将系统时间设置为2001年，导致某些安全软件杀毒和保护功能失效。在被感染计算机的后台调用系统“svchost.exe”进程，并将恶意代码注入到其中运行，隐藏自身，躲避安全软件的查杀。在被感染计算机系统的“%SystemRoot%\system32\”目录下创建病毒配置文件。在临时文件夹下释放3个带有“wxp2ins”字样的恶意驱动文件，文件名随机生成，并将文件属性设置为“隐藏”。

     这些驱动文件可还原系统“SSDT”，致使某些安全软件的防御和监控功能失效，从而达到躲避监控的目的。驱动文件还可能会覆盖破坏系统程序“explorer.exe”，把恶意可执行代码写入到系统程序中，具有绕过“还原保护系统”，覆盖破坏被感染计算机真实磁盘中系统文件的功能，使用户防不胜防。遍历当前计算机系统中的进程列表，一旦发现与安全相关的进程便强行将其关闭。

      在被感染计算机系统的“%SystemRoot%\system32\”目录下创建批处理文件并调用运行，利用该批处理程序去关闭“系统防火墙”。修改注册表，利用进程映像劫持功能禁止指定的安全软件运行。在被感染计算机系统的后台连接骇客指定站点，下载大量木马病毒到用户计算机中安装运行，给用户带来极大的损失。另外，“桌面幽灵”变种oe还具有自我删除的功能，以便消除痕迹。

 

     二、“网马连接器49152”（ Win32.RiskWare.PEBundle.49152）  威胁级别：★

　　这个远程木马具有一定的伪装性。它在注册表中增加自己的启动项时，采用的是“Update”这一名称，使得用户会误认为它是系统升级文件。

　　病毒进入系统后，会在系统盘根目录下释放出大量文件，主要有stdplugin.dat、MSSCRIPT.OCX、stdlib.vbs、hknm.sys、ad-mymacro.xml等。从这些文件的格式可以明显看出，该毒擅长利用网页挂马进行传播。

　　释放完文件，病毒就在后台悄悄连接远程服务器。

　　经毒霸反病毒工程师检查，该毒本身没有破坏行为，并且在连接到指定服务器gsm****5.go***e.com后，并未有接受控制或执行下载。但是，这种未经用户授权就连接服务器的行为，依然对用户的系统具有威胁。

“精确制导监视器”（Win32.Troj.Agent.km.52224）  威胁级别：★★

　　这个木马没有固定的文件名，它进入系统后，就把自己复制到%WINDOWS%\system32\目录下，名字随机生成，并删除原始文件。然后就修改注册表，将自己设置为开机自启动。

　　病毒运行起来后，会注入桌面进程explorer.exe，隐蔽运行，并连接病毒作者指定的地址6*.2*.1*8.221，下载最新版本的自己，实现更新，然后就开始作案。

　　它对用户最大的威胁，在于它能够读取IE的缓存，记录用户的网页浏览记录，以及用户使用msn、google、yahoo、aol、icq等搜索引擎时所输入的关键词记录。同时，它还会检查用户使用的浏览器是哪种。毒霸反病毒工程师猜测，当这些数据被发送到病毒作者手中，可能会被用于统计用户的上网习惯，以帮助病毒作者有针对性的开发广告木马。

　　另外，此木马有个特点，就是病毒作者能够给它指定发作地区。它检查系统中Control

   
     三、“PE键盘记盗号器”（PE.OnlineGame.ak）  威胁级别：★

　　病毒是由高级语言所编写。它将自身主文件的副本SysSevenSowrd.exe和SevenSowrdSrv.exe释放到用户电脑系统中，并添加它们到注册表启动项里，让自己实现开机自启动。

　　与exe文件同时释放出的，还有病毒的驱动文件Sevenlog.sys，此文件负责执行键盘记录工作。当主文件运行起来，就会调用它，过滤用户通过键盘输入的信号，从中取得键盘纪录。

　　同时，它会记录用户电脑的机器名称、IP地址等信息，将它们和偷到的键盘记录数据一起发送到病毒作者指定的邮箱。它采取循环发送的方式，每隔一分钟发送一次，这样，就可以保证病毒作者能源源不断地获取用户输入的数据。

　　这类病毒通常用于盗窃用户的网游帐号，但也会对用户的网银帐号或商业机密构成威胁。

   
     四、“萨德纳变种c”（Trojan/Sadenav.c） 威胁级别：★
 
    “萨德纳变种c”是“萨德纳”木马家族的最新成员之一，采用Delphi编写，是由某木马程序释放出来的DLL木马组件，一般被注册为浏览器辅助插件（BHO）来实现木马随系统浏览器的启动而加载运行。

    “萨德纳变种c”运行后，将自身添加到被感染计算机上某些防火墙程序的白名单中，以躲避防火墙程序的拦截。在被感染计算机系统后台秘密监视用户的操作，记录用户运行的程序名、键盘输入等内容，并将这些内容保存到指定的文件中，定期发送到骇客指定的服务器上，可能造成用户机密信息的泄露，给用户带来一定程度的损失。

金山毒霸后援团提醒用户:

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到最新的病毒库即可查杀以上病毒；如未安装金山毒霸，可以下载在线安装包或者从金山毒霸官方网站免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。并且金山毒霸后援团搭建沟通平台，毒霸爱好者将为您提供帮助。