1.URL变形：用以推广病毒的下载链接快速变形，使杀毒软件拦截有害下载地址的方法迅速失效。
        2.文件MD5变形：下载的病毒文件快速更新，使得依赖MD5识别的杀毒软件迅速无效。
        3.下载一段时间后，所有恶意行为关闭：就象常见的软件过期，令杀毒软件难以找到病毒源头。
        4.利用暴风影音正常exe加载病毒DLL：病毒的执行模块（.dll文件）由带数字签名的暴风程序来间接启动，用以绕过杀毒软件的主动防御。
        5.模拟鼠标点击静默安装好压、酷盘、lavagame （捆绑后台安装）：病毒的这种行为更象是用户人为操作，使杀毒软件的主动防御被成功绕过，病毒推广互联网软件以骗取软件推广费，这是病毒集团获利的重要途径。

图3 病毒模拟鼠标点击来安装推广软件，以骗过杀毒软件的主动防御

        6.后台开启IE，刷流量：这是病毒的目的之一，刷流量可以骗钱。
        7.使用修改后的fastfat.sys来加载病毒驱动程序（fastfat.sys正常情况下是Windows系统文件），病毒用这个驱动模块来实现自身保护，以提高被杀毒软件清除的难度。
        8.关机回写：这是病毒驱动程序的特别之处，当用户关闭电脑时，病毒的驱动程序会重新向硬盘写入程序，以保证下次开机时，病毒程序仍能自动运行。这种方法曾经在3721这样的流氓软件中广泛使用。
        9.“变形金刚”病毒母体和一些盗号木马捆绑安装，以盗窃穿越火线（或其他网游）帐号密码。

        金山毒霸安全专家指出，这种技术型病毒，金山毒霸2012内置的K+防御可以完美拦截。一些游戏外挂使用者不顾安全软件的安全警告执意运行“外挂”程序，结果令电脑沦陷。在电脑上“被安装”好压、酷盘、lavagame的玩家可下载金山顽固木马专杀来查杀病毒。

图4 金山毒霸K+系统防御可拦截“变形金刚”病毒

        名词：
        穿越火线：腾讯运营的一款韩国联网枪战游戏，玩家一般简称为CF，在中国拥有大量粉丝，高峰时同时在线量达300万人。火热的CF网游吸引了大量开发制作外挂或辅助工具的工作室，其中混入了大量以盗号为目的的病毒，一些专门分发外挂的网站还会突然将外挂替换为病毒。