【IT168 软件资讯】“涂改者234496”(Win32.Troj.Hider.i.234496)，这是一个恶作剧程序，复制自身到系统目录，设置自身为系统隐藏文件，并通过添加到系统服务方式随系统启动。该程序会修改系统文件夹选项中的“显示隐藏文件”部分来保护自身，并且修改exe文件的关联方式。

　　“ARP下载者102400”(Win32.Troj.Downloader.yl.102400)，这是一个具有ARP 欺骗的下载者病毒，在下载病毒到本地运行的同时还生成大量AUTO病毒文件。该病毒还具有具有映象劫持功能，可以对一些安全工具和调试分析软件进行拦截，并不断改写注册表破坏安全安全模式，阻止用户修复系统。

　　一、“涂改者234496”(Win32.Troj.Hider.i.234496) 威胁级别：★

　　这是个恶作剧病毒，进入系统后，它会在%\WINDOWS%\system32\目录下释放出isass.exe病毒文件，并修改注册表系统服务项，将自己的相关信息加入其中，

　　达到随系统自动启动之目的。同时，它会把自己在系统文件夹中的显示模式修改为“隐藏”，跟用户玩起捉迷藏。接着，它修改系统中exe文件的属性信息，用户如果查看属性，可以发现exe文件全被解释为“File Folder(文件夹)”，除此之外，不会对用户系统造成别的影响。此病毒虽然无明显危害，但由于它会把隐藏文件设为不可见，因此还是对用户正常使用电脑造成一定影响。

　　二、“ARP下载者102400 ”(Win32.Troj.Downloader.yl.102400) 威胁级别：★★

　　病毒进入系统后，会释放出5个病毒文件，分别为%WINDOWS%\system32\Com\目录下的SMSS.EXE、netcfg.dll、netcfg.000，以及%\WINDOWS%\system32

　　\drivers\目录下的alg.exe目录下，还有释放出%\WINDOWS%\system32\下的dnsq.dll。同时还在在所有的磁盘根目录下生成自己的副本 pagefile.pif 及AUTORUN.INF 文件，如果用户双击进入受感染磁盘，病毒就会被再次激活。此后，只要用户在此台电脑上使用U盘等移动存储器器，病毒就会立刻传染上去。

　　病毒还将自己拷贝到%WINDOWS%\system32\Com\目录下，更名为 LSASS.EXE，并释放并运行病毒文件SMSS.EXE 和 ALG.EXE ，由于病毒的进程名和系统的LSASS、SMSS 进程名相同，任务管理器将无法结束它。该病毒会修改注册表，禁用显示隐藏文件选项，使隐藏文件无法被显示，并破坏系统安全模式的相关数据，使用户无法启动安全模式。它还会不断修改注册表，这会试得部分安全工具无法成功修复安全模式。该病毒具有映象劫持功能，可以破坏许多常用安全工具和调试分析软件的正常运行，如果它发现自己无法解决安全软件，就会像耍无赖一样将电脑强制关机。最后该病毒悄悄建立远程连接，从http://w.c**o.com/*.htm 和 http://j*.k***2.com/g*.asp这两个黑客指定的地址下载恶意脚本执行。此外，之前生成的alg.exe 是个ARP 病毒，它会利用 WinPcap 来收发网络包，对整个局域网内的所有 IP 进行攻击，给网络中的所有用户造成影响。

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控。建议用户安装反病毒软件防止日益增多的病毒，用户在安装反病毒软件之后，应该经常进行升级、将一些主要监控经常打开(如邮件监控、内存监控等)，遇到问题要上报， 这样才能真正保障计算机的安全。

　　2.玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2007年12月03的病毒库即可查杀以上病毒;如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2007或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。