盗号木马越来越猖狂了！记者近日从金山毒霸方面获得消息，越来越多的木马把伪装、屏蔽杀软、下载病毒二次传播、修改系统信息等多种手段结合起来，瞄准用户帐号展开围攻。ZOL安全频道提醒广大网友，除了及时升级您的杀毒软件以外，安装一款优秀的防火墙以及打好系统补丁也十分重要！
    “劫持式下载器127109”（Win32.TrojDownloader.Agent.ac.127109），该病毒是一个下载者木马。病毒运行后会从网上下载其他的病毒文件至用户的机器上并运行。
 
    “盗号下载者101715”（Win32.Troj.DownloaderT.m.101715），这是一个盗取木马。它会删除系统上的安全漏洞修补文件，并破坏安全辅助软件“360安全卫士”的正常运行，然后盗取系统上的网络游戏《问道》的帐号信息，并下载其它木马程序。

    一、“劫持式下载器127109”（Win32.TrojDownloader.Agent.ac.127109）  威胁级别：★★

    病毒进入系统后，在系统盘中释放出三个病毒文件，分别是%Program Files%目录下的meex.exe、%Program Files%\Common Files\Microsoft Shared\目录下的.exe，以及%Program Files%\Common Files\System\下的.exe。需要注意的是，这两个“.exe”进程名字为空，对用户具有一定的迷惑作用，并且它们互为保护，使用普通方法无法结束其进程。

    随后，病毒修改系统注册表启动项，将自己的相关信息加入其中，实现开机自启动。同时，为便于以后开展破坏，它会搜索并劫持系统中已安装的安全软件，令它们失效。包括毒霸、瑞星、卡巴斯基、诺顿、QQ医生等在内的常见安全产品都是它的劫持目标。

    当解决掉安全软件，病毒就在用户无法察觉的情况下建立远程连接，从木马种植者指定的地址www.w*****.com下载名为TDown1.exe和ReadDown.txt的下载列表，然后根据它们里面的地址去下载更多其它恶意程序到用户电脑上运行，给用户系统造成无法估计的破坏。

    此外，病毒在发作时，会监视用户的文件夹浏览情况，如发现用户试图打开病毒藏匿的文件夹，就会将窗口关闭。如果用户在自己电脑上发现这种情况，那很有可能就是中了此毒。

    二、“盗号下载者101715”（Win32.Troj.DownloaderT.m.101715）  威胁级别：★

    病毒进入用户的系统后，会在系统盘的%WINDOWS%\Temp\目录下释放出病毒文件*dw.dll (*号代表病毒原始文件的文件名)。然后，它迅速展开监视，只要发现用户试图打开杀毒软件“江民”和安全辅助软件“360安全卫士”，就关闭它们的窗口，使得用户无法利用这些安全产品查杀病毒。如果用户电脑中安装有杀毒软件“卡巴斯基”，病毒会修改系统时间为2004年，造成卡巴斯基失效。

    接着，病毒在系统盘的%windows%\system32\目录下查找是否存在windows系统“KB908531”号安全更新的程序 “VerClsid.exe”文件，则删除，以便于自己能更顺利的进行破坏。

    等扫清障碍，病毒就调用之前生成的病毒文件，注入系统桌面进程explorer.exe中，展开全局监视，如果发现系统上安装得有网络游戏《问道》，就注入游戏内存，读取帐号信息并发送给木马种植者。

    除盗窃网游帐号信息外，该病毒还会在后台悄悄连接木马种植者指定的远程地址 http:/ /www.c*t**6*6.com，下载一份病毒列表，然后按照列表中的地址去下载更多其它木马程序，给用户的系统造成更多威胁。