金山毒霸12日病毒预警:小心两类木马下载程序

　　“色情伪装下载器208896”(Win32.Troj.Agent.208896)，这是一个木马下载器程序。它会自动调用IE浏览器，下载大量病毒到用户机器上，同时还会擅自登录Google页面搜索色情视频，让用户以为它是个色情广告软件。

　　“仿真机器狗”(Win32.Troj.Downloader.ns.25088)，这是一个类似于机器狗的木马下载器程序。它的行为与年初时曾流行的机器狗病毒类似，都是破坏安全软件和系统安全模块后执行病毒下载行为。不过，由于此毒是一个半成品，因此只会破坏电脑的安全系统，而无法执行下载。

　　一、“色情伪装下载器208896”(Win32.Troj.Agent.208896) 威胁级别：★

　　这个木马下载器很狡猾。它自带得有搜索功能，一旦顺利运行起来，便会调用IE浏览器登录Google的搜索页面，搜索色情视频。这时，用户会以为它是个色情广告软件，最多删除该程序本身，却不知道它已经下载到电脑里的其它病毒。

　　病毒在进入系统后，释放出的病毒文件非常之多，难以一一列举，不过它的主文件名为smp.bat，被释放到系统盘根目录下，该文件会自动连接网络，从病毒作者指定的地址下载多份病毒列表，然后根据其中的地址去下载更多其它病毒。在这个过程中，它就弹出色情视频的搜索窗口，麻痹用户。

　　毒霸反病毒工程师检查病毒信息后发现，该病毒主要利用网页挂马来进行传播。因此用户在上网时最好是将网镖等计算机防火墙打开，并且不要随意登录不良网站，以免感染该毒。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-208896-50596.html

　　二、“仿真机器狗”(Win32.Troj.Downloader.ns.25088) 威胁级别：★★

　　这个下载器很明显是仿照机器狗来制作的。它开始运行后，首先删除注册表中一些免疫机器狗病毒工具的启动信息，破坏目前已有的各类机器狗专杀工具的运行，并修改系统时间为2003年，让依赖系统时间进行激活和升级的杀毒软件失效。

　　接着，它在系统盘的%windows%\system32\drivers\目录下释放文件7.tmp(注意，文件名是随机生成的)，并将它注入到系统桌面进程中，修改桌面进程的数据，将其变为自己的傀儡，以便执行下一步的操作。

　　病毒继续运行，它搜索并替换掉所有用户对系统目录的完全控制权限，让用户完全失去对自己电脑的控制，这样一来，就能阻止用户进行手动查杀。最后，病毒在“c:\temp\”目录下释放出另一个随机命名的.tmp格式文件运行，试图连接网络执行下载。

　　根据毒霸反病毒工程师的分析，由于病毒本身功能设计的问题，下载行为无法实现。但不排除病毒作者会在下一个变种中进行改进的可能。因此，对该毒需要特别注意。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-ns-25088-50597.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月12的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。