“MSN跳虫55808”（Win32.TrojDownloader.MSNBot.m.55808），这是一个通过MSN聊天工具进行传播的木马程序。病毒会从指定网址下载木马程序，并将下载的木马通过MSN来进行传播。它还具有自删除的功能。

　　“IE小广告33280”（Win32.TrojDownloader.Zlob.33280），这是一个广告软件。该程序运行后，会添加名为“IE Anti-Spyware”的IE菜单项，并在未经允许的情况下更改用户的IE搜索引擎设置，把用户引导到木马作者指定的网站。

　　一、“MSN跳虫55808”（Win32.TrojDownloader.MSNBot.m.55808） 威胁级别：★

　　病毒进入系统后，在%WINDOWS%\system32\下释放出病毒文件rmbsvc.exe，同时还在%WINDOWS%\temp\目录下释放出一个随机命名的.exe病毒文件。然后，它修改注册表启动项，实现随系统自启动之目的。完成此步骤后，病毒就删除原始文件，避免被用户发现。

　　病毒如果顺利运行起来，会检查与MSN相关的窗口信息，如果找到，它就悄悄建立远程连接，向p**l.hy**id*x.com这一由木马作者指定的服务器发送系统当前用户的信息，如用户名、系统版本号等。服务器受到中毒用户的信息后，会根据用户的系统配置，向病毒反馈下载指令信息。病毒根据此信息从http://www.n**au.dk/m**ia上获取一个下载列表，再按照下载列表的地址从http://www.st*die**oep**tselen.nl/co***onents/com_sef/cgi-bin/这个站点下载更多的病毒。

　　新的病毒被下载后，首先会被暂存到%WINDOWS%\temp\目录，随后被打包进一个随机命名的.zip压缩包中。然后，病毒会向用户MSN好友名单中的好友发送这个含毒压缩包，以扩大自己的传染范围。

　　二、“IE小广告33280”（Win32.TrojDownloader.Zlob.33280） 威胁级别：★

　　病毒进入系统后，立即在病毒所在的目录生成生成isfmdl.dll和isfmm.exe，然后修改注册表，在里面添加名为“start”的启动项。这样，系统启动时，病毒就能跟着自动运行起来。

　　病毒会注册为浏览器帮助插件，以便在系统启动或运行IE时自动加载isfmdl.dll，而为了迷惑用户，它伪装为名为“IE Anti-Spyware”的安全软件，还装模作样地在IE“工具”菜单中添加一个名为IE Anti-Spyware的菜单项。

　　接着，病毒更改IE浏览器 默认的搜索引擎，将其设置为“http://www.s**rc***ghere.net/index.php?b=1&t=0&q=”这个由木马作者指定的地址，还把IE首页修改为另一个由木马作者指定的地址http:/**s40**age.com。只要用户打开IE，就会被自动引导到该网站，浏览广告信息，为该网站“贡献”流量。

　　为防止用户删除，病毒会采取强行安装的流氓做法，它把自己加载到资源管理器中，并进行自保护，使得用户不容易删除它。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。

【责任编辑 陈东方】