莫非博客播报

　　“武装下载器139264”（Win32.Troj.Agent.gh.139264），这是一个病毒下载器。它利用ATUO技术来传播，会劫持并删除大量杀毒软件和安全辅助软件，然后下载大量木马文件到用户电脑中运行。

　　“挂马蠕虫34304”（Win32.Troj.Downloader.c.34304），这是一个蠕虫病毒。该病毒运行后，会从指定的网络地址下载病毒程序，并且会攻击局域网内的其它机器，向它们发送恶意命令，让这些电脑也从网上下载病毒。

　　一、“武装下载器139264”（Win32.Troj.Agent.gh.139264） 威胁级别：★★

　　这个病毒下载器为近期新出现，它可以利用AUTO文件件实现自动传播，作案频率迅速升高。病毒作者在对抗杀毒软件方面下了些功夫，使得该毒可以劫持大量的主流杀毒软件和安全辅助软件。

　　病毒进入用户电脑后，首先在系统盘的%WINDOWS%\system32\目录下释放出三个病毒文件，分别为liiuo.exe、uqppo.exe、uqppo.inf。然后，它修改注册表，禁止显示系统隐藏文件，并将uqppo.exe和liiuo.exe添加到启动项中，使自己实现开机自启动。

　　同时，为提高传播速度，病毒在所有的磁盘分区下生成AUTO文件liiuo.exe和autorun.inf，只要用户在中毒电脑上使用U盘等移动存储设备，病毒就可以立即将其感染。

　　接着，病毒遍历磁盘，映像劫持大量杀毒软件和安全辅助软件，以及一些常被高级用户使用到的修复工具，比如卡巴斯基、毒霸等杀毒软件，以及360安全卫士、毒霸AV终结者专杀等安全辅助软件都在它的劫持名单中。同时，对另一些不适合做劫持的安全软件，它会采取直接关闭进程、删除其文件的办法。

　　如果确定完成了以上步骤，病毒就在后台悄悄连接病毒作者指定的网址http://qq.xt***uan.cn/cs/，下载一份名为inin.txt的病毒列表，根据其中的下载地址，下载20多个病毒文件。经毒霸反病毒工程师检查，这些病毒多为网游盗号木马。

　　关于此病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-agent-gh-139264-50682.html

　　二、“挂马蠕虫34304”（Win32.Troj.Downloader.c.34304） 威胁级别：★

　　这个病毒可以利用网页挂马和捆绑文件传播。

　　病毒在%WINDIR%\ SYSTEM32\目录下释放出文件tmipo.bat和taimpo.txt，并修改系统注册表，添加启动项。接着，它利用tmipo.bat建立批处理，关闭360安全卫士的进程。同时，利用大量的弱口令来尝试破解所入侵电脑的管理员权限，一旦成功，就会生成脚本病毒文件adi.vbs 。

　　该vbs脚本会从http://2*8.7*.91.248/这个由病毒作者指定的地址，下载另一个病毒文件。为迷惑用户，病毒会给它下载的文件命名为qq.exe。经毒霸反病毒工程师分析，这个被下载的病毒文件是个木马下载器，会下载更多的其它木马文件到用户系统中进行破坏。

　　同时，该病毒搜索局域网的的所有电脑，尝试破解它们的管理员权限，然后遍历磁盘，查找*.htm、*.PHP、*.ASP等网页文件，在其文件尾部插入JS代码，代码地址为之前的http://2*8.7*.91.248/。这样，只要那些电脑的用户登录了染毒网页，就会自动下载病毒文件到电脑上。

　　关于此病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-downloader-c-34304-50683.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月23的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。