近日据金山公司表示，专门针对杀毒软件的杀软克星下载器变种疯狂传播，另外一种针对《天龙八部》网络游戏的木马也很猖狂。提醒广大用户提高警惕。

“杀软克星下载器835072”(Win32.Troj.BlackcsT.a.835072)，这是一个木马下载器。它运行后会映像劫持大部分的安全软件，造成用户电脑失去保护。同时病毒注入系统文件，利用其空间运行自己，从网上下载更多其它病毒到中毒电脑上运行。

“天龙盗号木马90112”(Win32.Troj.OnlineGameT.uv.90112)，这是一个针对网络游戏《天龙八部》的盗号木马。它会关闭电脑系统的自动更新和防火墙功能，并盗取游戏的帐号信息，发送至木马种植者指定的接收网址。

一、“杀软克星下载器835072”(Win32.Troj.BlackcsT.a.835072) 威胁级别：★

病毒进入系统后，在系统盘的%WINDOWS%\system32\目录下生成病毒文件api32.exe、Autorun.inf、svchost.dll 、urls.dll，然后修改注册表，实现随系统自动启动之目的。同时，病毒会劫持目前知名度较高的安全软件，包括毒霸、诺顿、卡巴斯基、瑞星、冰刃、木马克星、360安全卫士、Windows木马清道夫、MerijnHijackthis浏览器配置监视程序、绿鹰PC万能精灵、Anti ARP Sniffer等在内的数十款计算机安全产品均是此病毒的劫持目标。如果劫持成功，这些软件都将无法正常运行，当用户运行它们时，只会不断激活病毒。而失去安全软件保护的电脑，会极易受到来自网络的攻击。

当病毒成功运行起来，会把之前生成的svchost.dll文件注入到Windows系统的登陆管理器进程winlogon.exe中，利用此进程的空间来运行自己，这样用户就不容易发现它。

病毒悄悄建立远程连接，从http://www.b*a*k*8.net/这个由木马种植者指定的地址下载最新的木马地址列表文件，将其保存到%WINDOWS%目录下的exe.sys文件。随后，病毒便根据该列表去下载更多的其它病毒，并将它们也保存到%WINDOWS%目录下运行。由于被下载下来的病毒种类多样，用户的系统安全、个人隐私将受到无法估计的威胁。

二、“天龙盗号木马90112”(Win32.Troj.OnlineGameT.uv.90112) 威胁级别：★★

病毒进入用户电脑系统后，在将病毒文件WinFormA6.dll、WinFormA6.exe、WinFormA6.ini释放到系统盘的%WINDOWS%\system32\目录下。然后，它修改系统注册表，把自己的相关数据加入其中，达到随系统启动而自动运行之目的。同时，为防止系统升级后具备查杀它的能力，以及便于其下一步的破坏活动，病毒会破坏系统的自动更新和防火墙功能，并建立一个.bat 格式的批处理程序，将%WINDOWS%\system32\目录下一个名为 verclsid.exe 的安全更新文件删除。

当病毒运行起来，它就会将之前生成的WinFormA6.dll文件注入系统进程explorer.exe 中，搜索网络游戏《天龙八部》的进程game.exe。由于“game.exe”这个文件名被许多游戏同时采纳，病毒在注入该文件后，会判断其是否为《天龙八部》的进程，如果不是，便自动退出。如是，则展开监视，并伺机偷取用户的帐号密码等信息。

如顺利得手，病毒便悄悄建立远程连接，把赃物发送到“http://www.w**g.net.cn/tl**ngkuai/9898.asp”这个由木马种植者安排的地址，给用户造成虚拟财产的损失。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年1月17的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。