“肉鸡猎人81920”（Win32.Troj.Downloader.vb.81920） 威胁级别：★★

　　具有较强对抗能力的下载器又出现了。毒霸反病毒工程师在近日处理的病毒中，发现了一个可以严重破坏系统的下载器程序，它除了能够关闭安全软件，执行下载外，还会设法取得对用户电脑系统的完全控制权，试图将用户的电脑变成肉鸡。

　　病毒进入系统后，在系统盘中释放出大量的病毒文件，其中病毒主文件SoundMan.exe隐藏在%WINDOWS%目录中，而%WINDOWS%\system32\目录下则隐藏着interne.exe、Man.exe、qoq.exe、no1.ini、notepde.exe、note2.ini、ttjj5.ini等。

　　病毒修改注册表，以最快的速度完成对冰刃、木马克星、360安全卫士的映像劫持，使它们无法运行。病毒还试图劫持毒霸的进程，不过经检验无法成功。另外，它还会劫持系统的输入法模块和资源管理器，令用户无法手动查杀病毒和通过本机向外求援。除了映像劫持外，病毒也通过关闭进程、修改系统时间的方法来破坏其它多家知名安全软件的正常运行。

　　接着，病毒建立一个新的系统帐户，设法获得全部用户组的管理权限，让用户几乎完全无法操作电脑。在此之后，病毒就连接到病毒作者指定的远程地址，下载大量盗号木马到用户电脑中运行，把用户偷个一干二净。

　　偷完东西后，病毒不会就此停止运行。它会建立扫描程序，对用户系统的一些敏感端口进行扫描等行为，将用户电脑变成任由病毒作者（黑客）控制的“肉鸡”。并且，如果中毒电脑位于局域网中，病毒还会试图把自己传染到其它正常的电脑上，扩大自己的传染范围。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-downloader-vb-81920-50637.html

　　此外值得关注病毒

　　“黑客后门程序20480”（Win32.Hack.Pangu.a.20480） 威胁级别：★★

　　这个后门程序会将自己的相关数据添加到系统注册表中，创建服务gu7788gu来加载文件，使自己能够随系统启动。

　　为了欺骗用户，服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止，alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动”

　　同时，病毒修改系统注册表，将自身添加到windows防火墙的例外列表中，这样它就可以绕开系统安全模块的封锁，与外部网络自由通讯。

　　完成以上步骤后，病毒就删除自己的原始文件，防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4：8001，等待病毒作者（黑客）的控制指令。

　　毒霸可以清理此毒，习惯手动杀毒的用户则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-hack-pangu-20480-50632.html

　　“非法扫描仪747520”（Win32.Troj.Agent.bw.747520） 威胁级别：★★

　　这个病毒是个黑客程序，黑客可以借助它对用户的系统进行非法扫描，并实现对用户电脑的完全控制。它本身的技术含量并不高，但近来传播范围较大，毒霸反病毒工程师检查后发现，这与该毒利用下载器和捆绑其它文件进行传播有较大关系。

　　病毒在进入系统并被激活后，就会复制自己的文件LVScom.exe到系统盘的%WINDOWS%\system32\目录中，然后删除原始文件，防止用户发现系统中出现多余的文件。接着，它就在注册表中添加自己的多个启动项，实现开机自启动。

　　最后，病毒自动连接某病毒作者指定的地址，接受指定的指令后，对中毒电脑进行非法扫描。然后按照指令的不同，执行不同的操作。由于指令可以是多样的，病毒作者（黑客）也就可以对中毒电脑进行任何他想要的操作。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-bw-747520-50629.html

　　金山毒霸反病毒工程师建议

　　1.请及时更新您的杀毒软件，网络版可以通过控制台执行全网升级。

　　2.建议手动或使用毒霸来关闭自动播放功能,防止病毒利用U盘等可移动设备来进行传播。

　　3.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开（如邮件监控）、内存监控等，遇到问题要上报， 这样才能真正保障计算机的安全。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月8日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duab.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。

• 2008-05-3005.31病毒预警：“肉鸡猎人”关闭安全软件、严重破坏系统
• 2008-05-2805.28病毒预警：“黑客后门程序” 修改系统防火墙数据
• 2008-05-2705.27病毒预警：“非法扫描仪” 对用户电脑进行非法扫描