07.18病毒预警：“木马武装模块”感染驱动文件、加载木马

　　“木马武装模块918”（Win32.Patched.ao.918），这是一个感染型的蠕虫病毒。它是某木马文件的组成模块，会感染系统中的驱动文件。感染成功后，就加载木马驱动，帮助木马实现运行。

　　“流氓下载器348160”（Win32.Troj.Agent.bk.348160），这是一个木马下载器。它会从指定的地址下载一些流氓软件，运行完毕后还会删除自己释放出的文件。

　　一、“木马武装模块918”（Win32.Patched.ao.918）威胁级别：★

　　这个病毒专门感染系统中的驱动文件，感染的目的是借助这些驱动文件的运行而实现自动运行。

　　当它进入系统后，就会搜索并感染电脑系统中的驱动文件，它将自己的代码附加到这些文件中，如果用户调用这些驱动，它就能随着运行起来。当病毒开始运行，它会读取并调用系统中的一些函数，从而实现加载病毒自己的驱动文件。

　　毒霸反病毒工程师认为，此毒是某个具有对抗杀软功能的木马的组成部分，它所加载的驱动，很可能是为了还原系统SSDT表，以解除一些杀软的主动防御。

　　由于该毒可以独立运行。因此，如果在自己的电脑中发现该毒，不一定就证明有完整的木马侵入。不过，我们仍建议用户进行一次全盘查杀。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-patched-ao-918-50814.html

　　二、“流氓下载器348160”（Win32.Troj.Agent.bk.348160）威胁级别：★

　　这个病毒进入用户系统后，不需要修改注册表就可以运行。它解密自己，在当前所在目录中释放出病毒配置文件pw.ini，并在%WINDOWS%目录下创建一个随机命名的.tmp文件，将pw.ini的内容写入其中。

　　接着，它读取.tmp文件里的远程地址，并在后台悄悄连接，下载另一个病毒文件sss.exe。此病毒文件其实是一个木马列表，病毒会根据其中的地址，下载大量的木马和流氓软件到用户电脑中运行。

　　当运行结束，病毒就删除之前释放出的各种文件，然后退出自己的程序。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-agent-bk-348160-50815.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月18的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。