由于反病毒软件的日新月异，木马制造者为了获得利益，也在不断的更新木马种类，这对反病毒工作来说是一项极大的挑战。同时，为了达到诱骗用户点击木马以运行恶意程序，木马制造者多结合时事新闻话题，制造一些极具诱惑性的挂马图片或链接诱惑用户点击。而现在较为流行的种马方式是在网页中植入“下载者”进行攻击。

　　下载者（Downloader）是一类计算机病毒程序，按照国际上的病毒命名惯例为“Trojan-Downloader”一类，这类木马程序的主要内容为：指引中毒用户的计算机到黑客指定的URL地址去下载更多的病毒文件或者木马后门文件并运行，使得黑客获得更大操作权限，为黑客后门技术奠定基础。通俗的说，就是自动下载病毒的程序。

　　一般这类病毒体大小在几百字节到几KB之间，比一般的木马程序要小的多，便于网络传播。网站挂马通常挂的都是下载者木马，因为下载者程序体积小，可以迅速下载执行，不卡IE浏览器。所以，不安装杀毒软件，一般很难发现。

　　下载者的没有固定的形态，但所能实现的功能较多，通过下载者，受害主机会源源不断的“被”下载越来越多的盗号木马和各种CPA插件。反映在用户身上，就是发现电脑运行越来越慢，以及不定时的自动打开各种网站。这对用户的正常办公带来了极大的困扰。

　　截止上周末，AVG支援中心截获了一个非常流行的下载者木马“winsoft下载者”，它随着“春节 买票”、“转让车票”、“低价卧铺车票”等热门关键字而来。由于广大用户回家心切，上网时不太注重网页的安全性，使得这种木马有了可乘之机。同时由于支付宝的便利性，很多用户被虚假的网页钓鱼，在非正规的网站“购票”造成了巨大的损失。

　　木马利用浏览器的漏洞，隐藏在多个网页当中，当用户计算机存在安全隐患时，下载者利用漏洞自行静默安装在用户的计算机上。

　　这些下载器以很多的形式出现，但是共同点就是指向的下载网址都是如下形式

　　http://app2.wi*****0.com

　　http://app2.wi*****1.com

　　………………

　　http://app2.wi*****101.com

　　下载器会尝试去循环检查以上的链接是否可以可用，如果可用则发送Http Get的请求，根据服务器端的返回内容进行进一步的操作。

　　经AVG支援中心检测，发现该下载者存在以下显著特点：

　　1、指向的下载网址可变，不易被阻断，下载地址的大部分是固定的，变化的只是数字部分，变化范围从1-101.活跃的链接也是变化的。（可见这条木马产业链上，木马制造者投入了多个域名进行攻击。）

　　2、下载的内容可变，服务器可以灵活调整传输到用户系统的病毒文件，从目前的检测来看，主要以针对主流游戏的盗号木马居多。

　　3、下载行为隐蔽，不易被发觉，研究人员发现病毒在发送Http请求时，有一个参数标识着当前用户的特征，如果这个标识在服务器已有记录，则不会重复下载，因此下载器并不是长期活跃在用户的系统中，给查杀带来一定困难。

　　目前，在安装AVG 全功能安全软件 2011 的计算机上，已可以做到自动阻断winsoft下载者病毒。如果您的计算机上还未安装杀毒软件，我们推荐您安装AVG的免费杀毒软件: http://www.avg.com/cn-zh/china-homepage

　　同时，AVG再次提醒广大用户，春节期间谨防“话题攻击”，为自己的爱机安装杀毒软件以免受不必要的损失。