“扫荡波”（Worm.SaodangBo.a.94208），这是一个利用MS08-067漏洞发动攻击的蠕虫下载器，它会将另外一些下载器和盗号木马下载到用户电脑中。该毒的攻击能力非常强，只要系统未打补丁，受攻击的电脑即使运气好“免遭毒手”，也会出现系统进程崩溃事件，导致无法上网。

“远程控制器1032192”（Win32.VirInstaller.Agent.1032192），这是一个远程控制木马。它会将用户电脑系统与黑客远程服务器连接

一、“扫荡波”（Worm.SaodangBo.a.94208） 威胁级别：★★★

微软MS08-067漏洞公布之后，利用该漏洞发动攻击的恶意程序大量涌现。昨日被毒霸反病毒工程师捕获的“扫荡波”就是其中威胁最大的一个。

它利用网页挂马进行传播，病毒进入电脑后，立即对局域网内所有电脑进行扫描，只要发现它们未打MS08-067漏洞的补丁，就立即将其攻陷，往里面下载自己的最新版本和大量的其它恶意程序，主要是各类下载器和盗号木马。

如果对网内电脑的攻击失败，这些电脑上则会出现svchost.exe出错的提示，说“svchost.exe中发生未处理的win32异常”，同时网络连接中断。用户要是发现自己的电脑中出现此情况，就说明您电脑所处的局域网内有机器中毒。这时候，您的电脑并没有中毒，但千万不可以有侥幸心理，应该立即打上MS08-067补丁，因为该毒的攻击不会仅仅一次，而且随着病毒作者对它进行升级，它会拥有更强的攻击力。

该毒共含有四个子文件，分别是aaa.bat、mrosconfig.exe、vista.exe、qqq.sys。进入系统后，它首先调用vista.exe对本网段(C类)范围内的所有计算机的445端口进行扫描。之后，挑选出可以连上445端口的计算机保存到一个列表文件中。然后，再调用mrosconfig.exe对列表文件中的计算机发送RPC请求，使远程计算机中的svchost.exe中解析RPC路径时溢出，在远程计算机中下载一个名为ko.exe的文件并执行。

ko.exe文件是另一个下载器，它会下载更多的其它恶意程序安装到被攻击的计算机上。目前毒霸反病毒工程师在其下载清单中已发现机器狗木马和针对《QQ三国》、《完美世界》等网游的盗号木马。

二、“远程控制器1032192”（Win32.VirInstaller.Agent.1032192） 威胁级别：★

这个远程木马的行为比较简单，它释放完文件、添加注册表启动项后，就会在后台启动IE浏览器，连接病毒作者指定的远程黑客服务器。

该毒的文件sea0999.tmp会被释放到系统临时目录%WINDOWS%\TEMP\下，如果能顺利运行，它就会开启端口31801，生成后门。它所连接的黑客服务器为 udp.hj**123.com，经毒霸反病毒工程师检查已失效。

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。