“Flash特务”（Win32.Troj.SecretAgent.cd.200704），这是个利用FLASH漏洞进行传播的病毒下载器。它进入电脑后会破坏多款国产杀毒软件和安全辅助软件的正常运行，然后 下载盗号木马到系统中运行。运行完毕后就完全删除自己的全部文件，不留下一点痕迹。

“键盘记录员变种113156”（Win32.PSWTroj.OnlineGames.113156），这是一个盗号木马程序的变种。它会记录用户通过键盘输入的各种信息，将它们发送给病毒作者指定的远程地址。病毒作者在后期进行一些处理，就可以筛选出其中的帐号和密码。

一、“Flash特务”（Win32.Troj.SecretAgent.cd.200704）  威胁级别：★★

这个病毒的主文件名为NTDUBECT.Exe，当病毒的原始文件Orz.exe在其它FLASH漏洞下载器的帮助下进入电脑后，NTDUBECT.Exe就会被释放到当前磁盘分区的根目录。它首先会尝试修改系统时间为2000年，以检测当前系统中是否有装有卡巴斯基7.0版，若有，病毒便停止运行。

如果成功修改了系统时间，就表明用户系统中所安装的卡巴斯基是旧版本，而随着时间的修改，这些版本的卡巴自然也就会瘫痪。当这个步骤顺利完成，或者用户没有安装卡巴，病毒就会修改注册表、禁用系统安全中心和windows 防火墙、禁用系统还原等系统自身的安全模块。

接着，病毒利用自己的另一个文件antir.Exe和驱动文件antir.Sys，检测系统中是否有金山毒霸和瑞星的文件。如有，就查询金山毒霸和瑞星主要文件的相关键值，从而得到它们的安装路径，然后释放出与它们主要文件相同名称的文件，进行替换。

当确信解决掉用户系统中的以上杀毒软件和安全辅助软件，此毒就在系统临时目录%temp%\中释放出文件setup.Exe 并执行。这个文件是一个木马下载器，它会在后台悄悄连接病毒作者指定的远程地址，下载大量盗号木马运行。

下载工作完成，病毒就调用自己的配置信息，恢复原来的时间。并根据配置信息的不同，决定是否对系统中的EXE文件建立映像劫持。最后，无论运行是否成功，病毒都会执行自动删除指令，把自己的原始文件、主文件、驱动文件等完全删除。不留下一点痕迹。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-troj-secretagent-cd-200704-50651.html

二、“键盘记录员变种113156”（Win32.PSWTroj.OnlineGames.113156）  威胁级别：★

这个盗号木马已经不是第一次出现在预警播报中，我们曾多次发出关于该毒的预警。但至今，该毒的变种依然大量出现。虽然毒霸可以彻底将其查杀，但由于此毒变种较多，一些未安装毒霸的电脑用户可能受害，因此再次发出预警。

这个病毒拥有三个病毒文件，分别为%WINDOWS%\system32\目录下的tavo.exe和tavo0.dll，以及系统临时目录%Temp%\下一个随机命名的.dll文件。其中tavo.exe是病毒主文件，它会被加进注册表的启动项，使病毒实现开机自启动。而tavo0.dll则用于在病毒运行起来后注入系统桌面进程Explorer.exe和其它所有的非系统进程当中。

病毒会监视用户的鼠标，键盘操作，从而获得用户的游戏帐号和密码信息。当然，其它所有的帐号和密码也会被记录。成功获取信息之后，病毒便将信息加密后以邮件的形式通过SMTP和网页收信空间发送给木马作者。之后，它就删除自己的原始文件，试图躲避用户查杀。

关于该病毒的详细分析报告，可在金山病毒大百科中查阅 http://vi.duba.net/virus/win32-pswtroj-onlinegames-113156-50652.html

金山反病毒工程师建议

1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月7的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。