您正在看的病毒漏洞是:“循环瘫痪下载器”下载病毒。

　　“大话西游3盗号者102400”(Win32.PSWTroj.OnlineGames.102400)，该木马是针对网络游戏《大话西游3》的盗号木马。病毒运行后会衍生病毒文件到系统路径下，利用消息监视的方式盗取游戏账号，并通过网页提交的方式发送给木马种植者。

　　“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896)，这是一个病毒下载器。该病毒运行后会修改用户的计算机配置信息，关闭用户机器上运行的流行杀毒软件和防火墙，从网络上下载大量木马，盗窃用户电脑中有价值的敏感信息。

　　一、“大话西游3盗号者102400”(Win32.PSWTroj.OnlineGames.102400) 威胁级别：★

　　制作变种对木马作者来说不是什么难事，他们只需制作一个木马生成器，就可以批量生成大量的木马变种。以下这个病毒只是一个普通的盗号木马，但因为最近相关变种较多，需要注意。

　　这个盗号木马针对的是网络游戏《大话西游3》。它由两个病毒文件组成，一个是隐藏在%WINDOWS%\目录下的DbgHlp32.exe，另一个是%Windows%\system32\目录下的DbgHlp32.dll，其中前者是病毒的主文件，病毒会将它的相关数据写入系统注册表，实现自己的开机自启动，而后者则负责盗号工作。当病毒完成文件释放后，它就删除自己的原始文件，让用户不易发现。

　　病毒盗号的原理是建立消息钩子，所谓消息钩子，简单的说就是监视用户与游戏服务器之间的通讯消息，从中筛选出帐号和密码，类似于窃听。病毒获得帐号信息后，就建立远程连接，将赃物发送到木马作者指定的地址http://zha*******23456.com/cssj/post.asp，然后木马作者就可以变卖游戏账号和装备，给玩家造成虚拟财产的损失。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-pswtroj-onlinegames-102400-50492.html

　　二、“循环瘫痪下载器208896”(Win32.Troj.Agent.bk.208896) 威胁级别：★★

　　具备对抗杀软能力的下载器再次出现。和机器狗、磁碟机一样，这个下载器也具备解除杀毒软件主动防御的能力。毫无疑问，这是下载器发展的一个趋势，只要可带来巨额利润的病毒黑色产业链存在，病毒作者们就会想方设法地突破杀毒软件。

　　如果用户机器上安装了卡巴反病毒软件，这个病毒就会在%Windows%system32\drivers\目录下释放出驱动程序beep.sys，将卡巴的主文件关闭。这个过程会不断反复，只要用户一启动卡巴，病毒就会立即将它强行关闭。而如果电脑中没有安装卡巴，病毒则释放这个驱动程序到系统临时目录，并且文件名随机。

　　接着，病毒利用自己的驱动程序，修改注册表，恢复系统SSDT表，使那些具有主动防御功能的杀毒软件失效。当这个过程运行完以后，病毒马上将其注册表项删除，需要运行时再创建。这样，用户检查注册表时，就容易发现异常。

　　最后，病毒开始干它的本职工作：从http://c.15**m.com/这个由病毒作者指定的地址下载一份名为okok.txt 的病毒列表。再下载列表里的所有病毒。在这些病毒中，大部分是盗号木马程序，它们会盗取用户的网络游戏帐号密码，以及其他一些私密信息。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅：http://vi.duba.net/virus/win32-troj-agent-bk-208896-50493.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给