“伪装下载者3584”注册为浏览器帮助对象

“伪装下载者3584”（Win32.MiniDrop.3584），这是一个下载者木马程序。它运行后，会注册为浏览器帮助对象，侵入explorer.exe、spoolsv.exe等程序中，利用它们的空间运行自己，然后远程下载病毒文件到本机运行。

“浩方盗号木马73728”（Win32.PSWTroj.OnlineGames.oe.73728），此病毒是针对网络游戏平台“浩方”的盗号木马。病毒运行后会注入“浩方”进程，截获用户账号信息，并把盗得的信息以网页提交的方式发送到木马种植者手上。

一、“伪装下载者3584”（Win32.MiniDrop.3584） 威胁级别：★★

病毒进入电脑系统后，在系统盘的%WINDOWS%\system32\目录下释放出4个病毒文件，它们分别为.exe、.dll、.ini、.ini2后缀的文件。需注意的是，这4个文件采取随机命名，但不论采用怎样的名称，文件名都只有5个字符，这就可以做为辨认它们的一个特征。

同时，病毒修改注册中的相关数据，将自己添加到系统自启动项，实现随windows系统启动而运行之目的。它会注册为浏览器帮助对象，骗取用户的信任，当用户启动资源管理器或IE浏览器时，就会自动加载病毒文件。

病毒运行起来后，会侵入explorer.exe、spoolsv.exe等系统进程中，创建一个rundll32.exe进程，运行之前生成的.dll病毒文件。并且，病毒会定时检查自己的进程是否在运行中，若未运行便重新创建一个病毒进程，以保证自己的犯罪行为能持续进行。

最后，病毒悄悄连接http://www.o3*6*.com这个由木马种植者指定的地址，下载更多其它病毒到用户电脑上运行，给用户的系统安全带来无法估计的威胁。

二、“浩方盗号木马73728”（Win32.PSWTroj.OnlineGames.oe.73728） 威胁级别：★

病毒进入用户电脑后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%目录下的winform.exe和%WINDOWS%\system32\目录下的winform.dll。随后，它修改注册表相关信息，将自己加入启动项，实现开机自动运行之目的。

当顺利地运行起来，病毒就搜索“浩方”对战平台的进程，发现后立即展开消息监视，伺机窃取用户的账号资料，把盗取的账号资料通过网页提交的方式发送木马种植者指定的地址http://www.*****.cn/hf2/post.asp，使用户遭受虚拟财产的损失。

此外需要注意，此病毒具有自我删除功能，当运行完毕后，它会删除自己的原始文件，让用户找不到病毒源。同时，它在作案时会将用户系统中已安装的杀毒软件强行关闭，造成用户电脑系统的安全等级大大降低。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。