“纵火狐狸精”(Win32.Magni.a.18944)，这是个感染型病毒。它会感染除系统目录外的exe、com、scr文件，并删除所有的GHOST系统备份文件。它还会从网上下载更多其它病毒，进一步危害用户系统，同时生成AUTO病毒，利用U盘传播自己。

　　一、“梦幻之盗504320”(Win32.Troj.XYOnline.dy.504320) 威胁级别：★★

　　该木马生成器运行后，盗号者只需输入游戏帐号的回传地址，然后点击，就可在该生成器所在的目录下生成一个名为menghuan.exe的文件，这个文件为针对网络游戏《梦幻西游》的盗号木马病毒。随后，病毒便会自动开始工作。

　　病毒首先会在中毒电脑的系统盘中释放出4个病毒文件，分别为%WINDOWS%\Fonts\目录下的armease.fom和okmhccsb.dll，以及%WINOEWSt%\system32\目录下的okmhcaz.exe和okmhcy.dll。其中，okmhccsb.dll是一个伪装过的文本文件，用于记录病毒与盗号者取得联系的方式。

　　接着，病毒修改注册表，使自己以后都能随着系统桌面的启动而启动，同时破坏WINDOWS系统的自动更新功能。随后，它将之前生成的Okmhczy.dll病毒文件注入所有的进程中，展开全局监视。如果在系统中发现料《梦幻西游》的进程 my.exe，病毒就立刻注入其中，通过读取游戏内存的方式获取用户的帐号密码等信息，并回传到木马投放者指定的地址http://www.5**g*me.net/*h/post.asp，给用户造成虚拟财产的损失。

　　二、“纵火狐狸精”(Win32.Magni.a.18944) 威胁级别：★★

　　病毒进入用户系统后，在系统盘的%Program Files%\Common Files\Microsoft Shared\Speech\目录下释放出病毒文件taskmgr.exe和dlg.dll，在%WINDOWS%\system32\spool\目录下释放出冒充成杀软“卡巴斯基”的病毒文件KAV.log。随后，它修改注册表，将自己添加到开始菜单启动项的“Documents and Settings\All Users\「开始」菜单\程序\启动\protect.exe”路径下，实现开机自启动之目的。

　　病毒会修改注册表中关于文件显示属性的相关数据，使得文件夹选项中的“显示所有文件和文件夹”一项消失。这样，如果它以后生成的病毒文件中有具隐藏属性的，用户也将无法发现它们。然后，病毒迅速强行关闭用户系统中的安全软件，使自己以后都能为所欲为。包括卡巴斯基、瑞星、超级巡警、麦咖啡在内的大部分著名安全软件都是它的关闭目标。

　　解决掉安全软件后，病毒便开始进行感染。它会感染除系统目录外的exe、com、scr文件，所有被感染文件图标变为放大镜。病毒会在文件尾部加上字符串“firefox”作为感染标记，避免自己浪费时间进行二次感染，以提高破坏效率。被感染文件运行后，会将原始文件释放到当前目录，并在文件名后加上“#”，且设为隐藏属性。长此以往，用户的系统资源就会被占用。

　　碰到这种情况，一些用户可能会试图使用GHOST来进行修复，但很不幸，此病毒作案已经删除了所有GHOST系统备份文件。最后，病毒悄悄建立远程连接，从“http://www.4**m.i*v.tw/20**lib/eng/Image”这个由木马种植者指定的地址下载大量病毒文件到用户电脑上运行，给用户带来无法估计的更大破坏。同时，为扩大自己的传播范围，病毒还在各盘中生成AUTO病毒folder.exe文件和autorun.inf辅助文件，只要用户在中毒电脑上使用U盘等移动设备，病毒就会立即将其传染。

　　反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。