“梦幻西游盗号器135168”（Win32.TrojDownloader.Delf.135168），这是个网游盗号木马。它会盗取网络游戏《梦幻西游》的帐号。为了躲避杀毒软件的查杀，病毒作者通过加壳加花指令进行免杀处理。并且，他为了独占从用户机器所窃取的信息，还会破坏其它木马下载器的正常运行。

　　“黑客学徒291840”（WIN32.Vking.cc.291840），这个病毒是黑客木马程序。它通过感染exe格式文件来进行传播，如果发作，就会关闭许多常见安全软件的进程，然后连接病毒作者指定的远程地址。

　　一、“梦幻西游盗号器135168”（Win32.TrojDownloader.Delf.135168） 威胁级别：★★

　　盗号木马依然是目前计算机病毒的主流，并且木马制作者间的竞争也越来越激烈。毒霸反病毒工程师近日就又捕获一个会“黑吃黑”的盗号木马。

　　病毒原文件在进入用户电脑后，就释放出文件inell.exe到系统盘%Program Files%目录下运行，搜索并修改hosts文件，屏蔽部分其它盗号木马的下载站点，破坏它们的正常运行，以达到黑吃黑的目的。

　　这个inell.exe文件在完成以上工作的同时，还会释放出一个HBKrnl.dll病毒文件到%windows%system32目录中，并将它写入注册表启动项，达到开机自动启动之目的。整个木马窃取信息的任务将由这个dll文件来完成。

　　当随着系统启动，病毒文件检测系统内是否存在my.exe进程，监控梦幻西游文件mhmain.dll是否处于活动状态，如发现处于活动状态则关闭游戏进程，用户重新进入游戏时记录帐号密码等信息，窃取成功后发送到病毒作者指定的多个地址，令用户遭受虚拟财产的损失。

　　顺便提及的是，该毒具有自删除功能，运行完毕后就会删除自己的原始文件。不过习惯手动杀毒的用户依然可以根据其释放出的文件发现该毒的蛛丝马迹。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-trojdownloader-delf-135168-50711.html

　　二、“黑客学徒291840”（WIN32.Vking.cc.291840） 威胁级别：★★

　　这是一个黑客木马程序的变种，它参考了维金病毒的一些技术，试图对中毒电脑实行远程控制。

　　病毒运行时将自身文件suchost.exe拷贝至%WINDOWS%SYSTEM32Drivers目录下，通过修改注册表中的相关数据，将其设置为隐藏文件，避免被用户发现。同时，把它添加到注册表的启动项中，实现开机自启动。

　　病毒接下来会启动感染线程。感染时，它将正常文件附加在自己文件的末尾，这样当用户运行正常文件时，它就能抢先运行起来，然后再释放出原始文件并执行。因为这个过程只不过是一瞬间的事，用户不会察觉。不过，有一个特征值得留意，就是该毒会在它到过的每个文件夹内创建文件Desktop_.ini，内容为当天日期。

　　完成以上工作，病毒就会尝试删除卡巴斯基、麦咖啡、赛门铁克、金山毒霸、NOD32、SSM、SREng、Network Associates、冰刃等安全软件服务进程。当失去安全软件的监控，病毒就可以自由地连接病毒作者指定的远程地址http://www.d_**g**.com/ ，下载最新的更新文件，并等待病毒作者（黑客）的指令，帮助黑客控制中毒电脑。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-vking-cc-291840-50712.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月27的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。