“安全杀手下载者”（Win32.Hack.Popwin.126976），这是一个下载者。该病毒运行后，会立即从网络上下载大量的病毒，种类繁多。同时，它还会关闭一些常用杀毒软件，逃避杀毒软件的查杀。此外，该病毒会严重占用系统资源，并且会向网络发送数据，占用网络资源。

　　“木马下载者217088”（Win32.Troj.BHO.qn.217088），这是一个下木马载者。该病毒运行后，会立即从网络上下载病毒配置文件，并根据该文件下载更多其它木马病毒。在它下载下来的木马中，有不少是广告木马和盗号木马。

　　一、“安全杀手下载者”（Win32.Hack.Popwin.126976） 威胁级别：★★

　　病毒进入电脑系统后，在系统盘的%WINDOWS%\system32\目录下释放出三个病毒文件，分别是9DEC0780.EXE、A01E1B60.DLL，以及Install2145.exe。然后，病毒就修改注册表，将9DEC0780.EXE这一病毒文件的相关数据写入注册表启动项，使得病毒以后每次都能随着系统的启动而自动运行起来。

　　当它顺利地运行起来后，就会立即搜索当前电脑中是否运行得有杀毒软件，如果有，它就会将之前生成的A01E1B60.DLL病毒文件注入到系统进程中，把杀毒软件强行关闭。在它的“杀软黑名单”中，包含了目前国内用户常用的各厂家产品。

　　如果成功解决掉杀毒软件，病毒就会在用户无法知晓的情况下迅速建立远程连接，从黑客指定的地址下载一份病毒列表，然后根据这张列表去下载更多其它病毒到用户电脑中运行，给用户造成无法估计的破坏。

　　二、“木马下载者217088”（Win32.Troj.BHO.qn.217088） 威胁级别：★★

　　病毒进入用户的电脑系统后，会在系统盘的%WINDOWS%\system32\目录下释放出病毒文件MSSCKETS.DLL和MSWSOCK2.DLL，同时还会在%Documents and Settings%\Administrator\Local Settings\Temp\目录下释放出一个1F.tmp_TMP.dll病毒文件。然后，它就擅自修改注册表，将自己的相关数据写入其中，实现随系统启动而自动运行之目的。

　　当病毒顺利运行起来后，它就随时盯着用户的IE浏览器进程，只要发现用户启动IE，它就会立即发作，悄悄建立远程连接，从http://i**pen.y**ames.com/ie**wn/这个由病毒作者指定的地址下载一份配置文件。这份配置文件可用于控制着该木马是否下载病毒、是否弹出广告、是否修改用户主页等等动作，它里面还存放着最新的其它木马病毒的下载地址。以及弹出广告的引导地址等数据。

　　如果病毒根据配置文件完成了对其它木马病毒的下载，用户使用IE浏览器时，就会遭受大量广告的骚扰。同时，用户电脑上安装的游戏也会被病毒下载下来的盗号木马偷去帐号和密码。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月7的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

• 2008-02-1502.15病毒预警：破防盗号者突破杀软主动防御、盗号
• 2008-02-0802.08病毒预警：机器狗变种可穿透还原下载木马病毒
• 2008-01-2401.25病毒预警：AUTO下载者感染U盘下载病毒
• 2008-08-1308.13病毒预警：“隐身木马下载器”隐藏进程、下载木马
• 2008-08-1108.11病毒预警：“AUTO蠕虫下载器”劫持安全软件、破坏安全模式
• 2008-08-0908.09病毒预警：“键盘记录下载器”记录键盘输入、诱骗下载