“劫匪下载器32256”(Win32.TrojDownloader.Banload.32256)，这是一个病毒下载器程序。它会通过映像劫持Windows自动升级管理程序来实现自动运行，然后在后台悄悄执行病毒下载程序。

　　“伪装杀手下载器18944”(Worm.Delf.el.18944)，这是一个病毒下载器。它从指定的网址读取下载列表，再根据列表中的地址去下载其它病毒文件，保存至本地执行。为提高传播速度，该毒还在各磁盘分区下生成AUTO病毒。同时，它也具备对抗部分杀毒软件的能力。

　　在昨日统计到的最新病毒流行数据中，下载器再一次成为传播趋势较高的病毒，而且他们的运行方式也更加多样化。

　　此篇预警中的就是一个病毒下载器。毒霸反病毒工程师检测后发现，该毒可利用捆绑文件和网页挂马的方式进行传播，它在进入用户后，和其它的许多下载器一样，都是先释放出自身的病毒文件。它的文件分别为%WINDOWS%\system32\目录下的tyt.dll和%ProgramFiles%\Internet Explore\目录下的IEXPLORER.exe。

　　与大多数通过添加注册表启动项实现运行的病毒不同，这个病毒士通过映像劫持Windows自动升级管理程序Wuauclt.exe来达到开机自动运行之目的。当成功运行起来，病毒进程就会在后台连接病毒作者指定的地址http://7**69.com/ ，下载其它病毒文件到用户电脑中执行。

　　此外，毒霸反病毒工程师发现，该毒具有自我更新功能。它在下载病毒的同时，还会不断进行在线检测，更新自己为最新版本。

　　这个病毒一旦进入用户的电脑，便会搜索所有的磁盘分区，查看是否有杀毒软件卡巴斯基的驱动文件klif.sys，如有，则立即修改系统时间为1981-01-12，让卡巴斯基失效。

　　接着，它在%WINDOWS%\system32\目录下释放出主文件Transfer Sebvice.exe，并修改系统注册表，将该文件的数据加入启动项，达到开机自启动之目的。此处需要注意一点，病毒为迷惑用户，会将自己伪装成“360安全设置”的项目。如果用户没有安装过该工具，却在系统注册表中发现这个数据，那就可能是中了此毒。

　　下一步，病毒会从病毒作者指定的网址http:/ /xxx.ad***5.com/txt071217，读取一份下载列表，根据列表中的地址去下载更多其它病毒，保存到%WINDOWS%\system32\文件夹下运行。

　　最后，为扩大自己的传播范围，病毒在每个磁盘分区的根目录下生成AUTO文件autorun.inf和Transfer Sebvice.exe ，只要用户双击含毒磁盘或在中毒电脑上使用U盘等移动存储器，病毒就会传染上去。

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。