“播放器漏洞脚本2136”（JS.Agent.tv.2136），这是一个下载器程序。它利用RealPlayer多媒体软件的漏洞来运行，一旦运行成功将会从指定的地址下载木马程序执行。

　　“武装下载器77824”（Win32.Troj.Agent.bl.77824），这是一个具有对抗安全软件能力的病毒下载器。它通过重定位内核文件恢复系统的SSDT表，从而使一些具有所谓“主动防御”的安全软件失效。接着，就连接远程地址，下载其它病毒。

　　一、“播放器漏洞脚本2136”（JS.Agent.tv.2136） 威胁级别：★★

　　从数周前开始，RealPlayer的漏洞利用病毒数量开始异常增多，毒霸反病毒工程师几乎每天都能截获到大量利用RealPlayer漏洞进行破坏的脚本病毒，相信这种情况与病毒制作集团不断开发新的病毒生成器有较大关系。

　　此篇预警播报中的病毒是众多RealPlayer漏洞利用脚本病毒中的一个变种，它和其它变种一样，都是利用网页挂马和捆绑视频文件的方式进行传播。只要用户浏览被挂马的网站，或者播放了含毒视频文件，病毒就可以在用户系统中发作。

　　病毒运行起来后在后台建立远程连接，从病毒作者指定的地址http://www.d**io.com下载一个病毒文件，并保存到系统盘的%WINDOWSsystem32目录下，命名为%a.exe。

　　受此毒影响的RealPlayer版本为6.0.10.4，安装得有该版本的用户请尽快下载升级文件。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/js-agent-tv-2136-50635.html

　　二、“武装下载器77824”（Win32.Troj.Agent.bl.77824） 威胁级别：★

　　这个下载器病毒带有自己驱动文件，因此对抗安全软件的能力相对普通病毒来说要高出许多。它如果进入用户系统，就会利用自己的驱动，重定位内核文件，恢复用户电脑中的SSDT表。这样一来，一些具有所谓“主动防御”功能的安全软件的防御能力就会大大降低。

　　病毒进入系统后，会判断当前的WINDOWS操作系统是否为 2000、XP或2003版本，如果是，则在系统临时目录%Temp% 文件夹下释放出驱动文件。然后修改注册表，创建服务名为“winsync32”的系统服务，服务路径指向正是之前释放出的驱动文件。

　　等驱动文件解除了安全软件的“武装”，病毒就把自身文件msosiocp.dll复制至 %WINDOWS%system32目录下，并将其注入系统桌面进程explorer.exe，实现隐蔽运行。如果可以成功运行起来，它就可以连接病毒作者指定的地址http:/ /c.1**dm.com/下载一份名为okok.txt的下载列表，根据列表中的地址去下载更多其它病毒到用户电脑中运行，引起更多的破坏行为。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-agent-bl-77824-50636.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年5月30的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。