中华网络安全联盟    来源：金山    时间：2006-8-19 11:24:34

　　近日，金山毒霸客户服务中心接到用户求助电话，该用户就真真切切的感受了一次一夜之间所有的“网络资产”全部丢失的噩梦。根据用户的描述，大家很容易联想到“敲诈者”或是“QQ大盗”等病毒，而在经过金山毒霸反病毒专家仔细研究后，下载者新变种bh（Win32.Troj.Downloader.bh）病毒浮出水面。

　　电脑中毒症状：

　　1.　QQ密码被盗，网络游戏帐号密码失踪？

　　2.　重要文件丢失，“网络资产”全部丢失的噩梦？

　　3.　电脑已经完全在黑客的控制。

　　下载者变种bh为一下载木马。其本身对系统并无太大伤害，但它会下载并执行一后门程序，使感染机器完全被黑客控制，黑客可以肆无忌惮的盗用感染者机器上的任何信息，危害极大。

　　病毒破坏手段：

　　1.　下载一后门程序，收集到用户信息；　　

　　2.　暴露QQ、网络游戏及网上银行的帐号和密码等“网络资产”；

　　3.　利用下载其他病毒的方式来对用户的电脑进行破坏。

　　据金山毒霸反病毒专家介绍，下载者变种bh运行后将下载一后门程序，并命名为lsa.exe，存放在windows目录下%SystemRoot%lsa.exe。后门程序lsa.exe运行后，可将自身拷贝到系统目录下，命名为ppop.exe，而后执行ppop.exe并把下载者变种bh自行删除。

　　值得一提的是，病毒会自动访问61.188.39.206服务器，并将收集到的用户信息发送到该服务器。用户一旦感染了该病毒，其电脑将完全暴露在黑客的视线下，QQ、网络游戏及网上银行的帐号和密码等“网络资产”将处于极度危险之中。

　　下载者木马病毒通常都是利用下载其他病毒的方式来对用户的电脑进行破坏，自第一个下载者木马被截获以来，就不断有新的变种出现，仅上周，就有两个下载者新变种病毒被截获。除下载者变种bh外，下载者变种fb（Win32.Troj.Downloader.fb）也要引起用户的警惕，该病毒会下载并执行其他十二个病毒，破坏程度不可小觑。

　　专家建议：

　　1.　及时下载微软公布的最新补丁，来避免病毒利用漏洞袭击用户的电脑；

　　2.　不要随便打开不明来历的可执行文件以免中毒受害；金山毒霸2006具有漏洞自动修复功能，可以帮助用户在第一时间内避免因为漏洞带来的冲击，避免相关原因给用户电脑造成的危害，用户可以登陆db.kingsoft.com下载金山毒霸2006。

　　3.　升级杀毒软件并打开防火墙以免中毒受害；金山毒霸反病毒应急中心已经及时进行了病毒库更新，升级毒霸到2006.08.15版本的病毒库即可彻底查杀；同时金山毒霸网站已经开放了针对该病毒的专杀工具的下载。如未安装金山毒霸，可以免费下载最新版金山毒霸2006或使用金山毒霸在线业务清除该病毒，您拨打金山毒霸反病毒急救电话010-82331816，金山反病毒专家将为您提供帮助。