“木马下载器36864”（ Win32.Troj.Downloader.ab.36864），该木马为一个下载者木马，运行后会将自身改名为1sass.exe并复制到系统的system目录，然后删除自身。1sass.exe会将自己添加为系统服务，然后以服务的方式运行。该服务运行之后会首先从指定网址下载一个病毒列表的文本，然后对照该文本中的网址下载木马并运行，跟踪发现该木马下载的为一个远程控制软件，当该软件安装并运行之后，黑客可以完全控制用户的电脑。

　　“广告弹射器499712”（Win32.Adware.Boran.bu.499712），这是一个广告软件程序。该病毒运行后，注册为系统服务，从网络上下载文件，根据下载的文件中的内容，弹出IE显示指定的广告网页。

　　一、“木马下载器36864”（ Win32.Troj.Downloader.ab.36864） 威胁级别：★★

　　病毒进入用户系统后，把自己的病毒文件1sass.exe复制到系统盘的%WINDOWS%\system\目录下，然后建立一个名为afc9fe2f418b00a0.bat的批处理文件，通调用该批处理来删除病毒原始文件，在删除掉原始文件后，这个批处理文件也会自我删除，使得用户即便发现系统异常，也无法找到病毒源。

　　随后，病毒擅自修改系统注册表，将自身注册为系统服务，以便能在用户每次开机时自运行。如果得以顺利运行起来，病毒就会悄悄会连接木马作者指定的网站http://nb.**33**.com/list.txt，下载一份病毒列表，然后根据该列表中的网址下载其它的木马，并立即激活运行。

　　被下载的木马为一个远程控制软件，如果它被激活，就会制造后门，并自动连接到远程黑客服务器，使得黑客可以完全控制用户的电脑，为所欲为。

　　二、“广告弹射器499712”（Win32.Adware.Boran.bu.499712） 威胁级别：★

　　病毒进入用户电脑系统后，在系统盘的%ProgramFiles%\winp\目录下释放出5个病毒文件，分别为code.dll、play.dll、snet.dll、stub.dll、vote.dll。然后，病毒修改注册表，建立系统服务，让自己能在系统启动后随着系统进程svchost.exe程序一同运行起来，达到自动启动之目的。

　　随后，病毒在用户无法知晓的情况下建立远程连接，从http://www.b**la*der.com.cn、http://up**te.b**la*der.cn等多个地址下载病毒文件。

　　当这些病毒文件进入电脑后，病毒就会读取其中的数据，然后自动弹出IE浏览器窗口显示木马作者指定的广告网页，诱使用户点击里面的内容，为这些广告站点“贡献”出流量。而由于广告网站比较容易被挂马，因此用户还会面临遭受恶意入侵的威胁。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月20的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。

• 2008-10-0410.04病毒预警：木马下载器 下载大量其它的病毒
• 2008-08-1308.13病毒预警：“隐身木马下载器”隐藏进程、下载木马
• 2008-04-1504.15病毒预警：“武装下载器”破坏安全防御、下载病毒
• 2008-04-0704.07病毒预警：“QQ自动关闭盗号者”盗窃QQ密码
• 2008-03-1703.17病毒预警：“磁碟机变种”破坏安全软件、下载木马
• 2008-03-0703.10病毒预警：“AUTO病毒”致杀软失效、下载病毒