“网银黑客盗号器61440”(Win32.Hack.Agent.61440)　威胁级别：★★　

　　这个病毒在对抗安全软件方面下了些功夫，目的是盗窃用户的网银帐号。

　　病毒进入系统后，释放出四个病毒文件，分别是%WINDOWS%\system32\目录下的explore.exe、%Windows%目录下的ponto.DLL和1.exe，以及%WINDOWS%\system32\drivers\目录下的beep.sys。

　　这里需提及的是，explore.exe与beep.sys在系统中本身就存在。前者是系统桌面文件，用自己的文件将其替换，能够便于病毒监视各种进程；后者则为系统用于提供控制系统发音，替换掉它，可以降低用户获知系统异常的机会。从而让病毒能够躲避查杀。

　　完成以上工作，病毒就修改注册表，把主文件1。exe加进启动项，实现开机自启动。并记录下用户通过IE浏览器上网时输入的类似银行帐号和密码的数据，然后悄悄连接病毒作者指定的地址http：//www.silvana****.kit.net，将记录到的数据发送出去。造成用户的帐号泄露，遭受财产损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅　http：//vi.duba.net/virus/win32-hack-agent-61440-50753.html

　　此外值得关注病毒

　　“还原卡破坏者73728”(Win32.TrojDownloader.Agent.73728)　威胁级别：★★

　　这个下载器在对抗系统安全模块方面做了许多工作，它能绕开安全模块的监视，非法连接远程服务器，甚至还可以穿透还原卡。

　　病毒在进入电脑后，释放自己的文件tubv.exe到%WINDOWS%目录中。立刻修改系统%WINDOWS%文件夹中的系统桌面文件explorer.exe，同时将正常的原文件复制到%WINDOWS%\system32\目录中。接着就运行起来，打开本地端口协议UDP端口。

　　然后，病毒在C盘根目录下生成一个emsf3.bat文件和一个rmeslf.bat文件，用它们删除病毒的原始文件和那个被修改过的explorer.exe，销毁自己到过电脑的证据。

　　完成以上工作后，该病毒利用打开的端口，连接病毒作者指定的地址http：//jqm.htitm***.cn，下载一份病毒列表，再根据其中的地址，下载数十个其它病毒。经毒霸反病毒工程师检查，这些病毒都是各种个样的盗号木马。会盗窃多种网游和网银的帐号信息。

　　毒霸反病毒工程师还发现，该下载器针对网吧等场所的电脑，配备有对抗还原卡功能。它可以利用磁盘驱动技术，穿透还原卡保护，从而让自己所下载的这些木马长久地驻留在受害电脑中。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅　http：//vi.duba.net/virus/win32-trojdownloader-agent-73728-50754.html

　　“劫持者下载器397312”(win32.Troj.WeHit.397312)　威胁级别：★★

　　最近具有对抗杀毒软件能力的木马下载器又开始出现增多迹象。本篇预警播报中的病毒就是一个对抗型下载器。它和它的若干变种频繁出现于网络中。

　　病毒进入电脑后，释放文件ccwlae080420.exe、ccwld32_080420.dll、ccwld16_080420.dll到%WINDOWS%\system32\目录中。如释放成功，则在文件%WINDOWS%目录下生成一个ccwl16.ini文件，并在其中记录相关信息。

　　病毒利用映像劫持技术，修改注册表，使目前市面上常见的多款杀毒软件瘫痪，并加载之前释放出的dll文件，修改IE浏览器的默认首页，使得用户在启动IE时，会被引导到病毒作者指定的网站。同时，病毒建立远程连接，下载大量的盗号木马。

　　该毒以及它所下载的木马，都会被毒霸完全清楚，已安装毒霸的用户可以放心。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅　http：//vi.duba.net/virus/win32-troj-wehit-397312-50782.html