一、“窃贼Ld变种ces” （Trojan/PSW.LdPinch.ces） 威胁级别：★

     Trojan/PSW.LdPinch.ces“窃贼Ld变种ces”是“窃贼Ld”木马家族的最新成员之一，采用汇编语言编写，并经过添加保护壳处理。
   
    “窃贼Ld变种ces”运行后，在被感染计算机系统的临时文件夹下释放木马程序“wmplayer.exe”。修改注册表，实现木马开机自动运行。调用“net stop wscsvc”命令来关闭“Windows安全中心”，导致Windows自带的防火墙失效。

    循环检测正在运行的窗口标题，一旦发现某些安全软件或者Windows防火墙程序弹出拦截窗口，则立刻模拟鼠标点击“允许”按钮，给拦截窗口发送消息。在后台秘密收集被感染计算机系统的信息（包括硬盘的可用空间、用户名、计算机名、操作系统版本号、计算机安装的程序等）。在被感染的计算机上查找ICQ软件的数据文件，可能会窃取用户的聊天记录、密码等私密信息。

    查找某些常用的FTP软件，获取文件中保存的用户账号、密码等信息；从某些常用的邮件软件中获取已保存的用户名、密码、邮箱地址等机密信息，以邮件的形式发送到骇客指定的远程服务器上，给用户带来不同程度的损失。

    另外，“窃贼Ld变种ces”还会将自身图标伪装成视频文件的图标，诱骗用户点击。

 

二、“灰鸽子变种BXJ”（Backdoor.Win32.Gpigeon2007.bxj）威胁级别：★

    该病毒运行时会首先将自身拷贝到系统目录下，并设置成隐藏、系统、只读属性。然后病毒会创建系统服务，实现随系统自启动。

    它还会新建IE进程并设置该进程为隐藏，然后将病毒自身插入该进程中。通过在后台记录用户键盘操作，病毒会偷取用户信息和本地系统信息等，并将该信息发送给黑客。

    如此用户计算机将被远程控制，不自主地删除文件，远程下载上传文件，修改注册表等等，给用户的计算机和隐私安全带来很大隐患。

三、“记录员下载器105984”（Win32.TrojDownloader.Unknown.105984）  威胁级别：★

　　病毒创建进程将自身文件BITS.DLL复制到%WINDOWS%\system\目录下，增加注册表启动项，实现开机自启动，然后就提权创建自身的文件映射。

　　在这里，病毒有个狡猾之处，它将映射名称采用为“_kaspersky”，试图伪装成杀毒软件卡巴斯基。如果用户在没有安装卡巴的机器上发现了这样的文件映射，那很可能是已经感染了此毒。

　　该毒运行起来后，就从指定的远程地址下载一个名为kvmon.exe的文件，并为其创建进程运行。这个文件是病毒用于执行盗号的模块，它会记录当前窗口以及键入的内容和时间，写入到当前目录的info.dat目录下，并发送到xwd***2008.3322.org:8000这个由病毒作者指定的地址。

 

四、“达多拉变种en”（TrojanDownloader.Dadobra.en）威胁级别：★

    TrojanDownloader.Dadobra.en“达多拉变种en”是“达多拉”木马下载器家族的最新成员之一，采用Delphi编写，未经过添加保护壳处理。“达多拉变种en”是由某个木马程序释放出来的，一般被注册为浏览器辅助对象（BHO），运行于“explorer.exe”和“iexplore.exe”进程内部，以便隐藏病毒程序，防止被查杀。
  
   “达多拉变种en”运行后，挂钩系统函数来隐藏木马主程序文件、注册表相关项等内容，使用户难以发觉木马的存在。在后台秘密收集被感染计算机的系统名称、用户账号等敏感信息，并提交到骇客指定的服务器上。

    在被感染计算机的后台连接骇客指定站点，下载大量的恶意程序并在被感染计算机上自动运行。其中，所下载的恶意程序可能包含网游木马、恶意广告程序、后门等，给用户带来不同程度的损失。

金山毒霸后援团提醒用户:

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到最新的病毒库即可查杀以上病毒；如未安装金山毒霸，可以下载在线安装包或者从金山毒霸官方网站免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。并且金山毒霸后援团搭建沟通平台，毒霸爱好者将为您提供帮助。