作者：金山

    “劫持式下载器127109”（Win32.TrojDownloader.Agent.ac.127109），该病毒是一个下载者木马。病毒运行后会从网上下载其他的病毒文件至用户的机器上并运行。

    “盗号下载者101715”（Win32.Troj.DownloaderT.m.101715），这是一个盗取木马。它会删除系统上的安全漏洞修补文件，并破坏安全辅助软件“360安全卫士”的正常运行，然后盗取系统上的网络游戏《问道》的账号信息，并下载其它木马程序。

一、“劫持式下载器127109”（Win32.TrojDownloader.Agent.ac.127109） 威胁级别：★★

    病毒进入系统后，在系统盘中释放出三个病毒文件，分别是%Program Files%目录下的meex.exe、%Program Files%\Common Files\Microsoft Shared\目录下的.exe，以及%Program Files%\Common Files\System\下的.exe。需要注意的是，这两个“.exe”进程名字为空，对用户具有一定的迷惑作用，并且它们互为保护，使用普通方法无法结束其进程。

    随后，病毒修改系统注册表启动项，将自己的相关信息加入其中，实现开机自启动。同时，为便于以后开展破坏，它会搜索并劫持系统中已安装的安全软件，令它们失效。包括毒霸、瑞星、卡巴斯基、诺顿、QQ医生等在内的常见安全产品都是它的劫持目标。

    当解决掉安全软件，病毒就在用户无法察觉的情况下建立远程连接，从木马种植者指定的地址www.w*****.com下载名为TDown1.exe和ReadDown.txt的下载列表，然后根据它们里面的地址去下载更多其它恶意程序到用户电脑上运行，给用户系统造成无法估计的破坏。

    此外，病毒在发作时，会监视用户的文件夹浏览情况，如发现用户试图打开病毒藏匿的文件夹，就会将窗口关闭。如果用户在自己电脑上发现这种情况，那很有可能就是中了此毒。

二、“盗号下载者101715”（Win32.Troj.DownloaderT.m.101715） 威胁级别：★

    病毒进入用户的系统后，会在系统盘的%WINDOWS%\Temp\目录下释放出病毒文件*dw.dll(*号代表病毒原始文件的文件名)。

    然后，它迅速展开监视，只要发现用户试图打开杀毒软件“江民”和安全辅助软件“360安全卫士”，就关闭它们的窗口，使得用户无法利用这些安全产品查杀病毒。如果用户电脑中安装有杀毒软件“卡巴斯基”，病毒会修改系统时间为2004年，造成卡巴斯基失效。

    接着，病毒在系统盘的%windows%\system32\目录下查找是否存在windows系统“KB908531”号安全更新的程序 “VerClsid.exe”文件，则删除，以便于自己能更顺利的进行破坏。

    等扫清障碍，病毒就调用之前生成的病毒文件，注入系统桌面进程explorer.exe中，展开全局监视，如果发现系统上安装得有网络游戏《问道》，就注入游戏内存，读取账号信息并发送给木马种植者。

    除盗窃网游账号信息外，该病毒还会在后台悄悄连接木马种植者指定的远程地址 http:/ /www.c*t**6*6.com，下载一份病毒列表，然后按照列表中的地址去下载更多其它木马程序，给用户的系统造成更多威胁。

金山反病毒工程师建议

    1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

    2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。