“安全杀手下载者”（Win32.Hack.Popwin.126976），这是一个下载者。该病毒运行后，会立即从网络上下载大量的病毒，种类繁多。同时，它还会关闭一些常用杀毒软件，逃避杀毒软件的查杀。此外，该病毒会严重占用系统资源，并且会向网络发送数据，占用网络资源。

　　“木马下载者217088”（Win32.Troj.BHO.qn.217088），这是一个木马下载者。该病毒运行后，会立即从网络上下载病毒配置文件，并根据该文件下载更多其它木马病毒。在它下载下来的木马中，有不少是广告木马和盗号木马。

　　一、“安全杀手下载者”（Win32.Hack.Popwin.126976） 威胁级别：★★

　　病毒进入电脑系统后，在系统盘的%WINDOWS%\system32\目录下释放出三个病毒文件，分别是9DEC0780.EXE、A01E1B60.DLL，以及Install2145.exe。然后，病毒就修改注册表，将9DEC0780.EXE这一病毒文件的相关数据写入注册表启动项，使得病毒以后每次都能随着系统的启动而自动运行起来。

　　当它顺利地运行起来后，就会立即搜索当前电脑中是否运行得有杀毒软件，如果有，它就会将之前生成的A01E1B60.DLL病毒文件注入到系统进程中，把杀毒软件强行关闭。在它的“杀软黑名单”中，包含了目前国内用户常用的各厂家产品。

　　如果成功解决掉杀毒软件，病毒就会在用户无法知晓的情况下迅速建立远程连接，从黑客指定的地址下载一份病毒列表，然后根据这张列表去下载更多其它病毒到用户电脑中运行，给用户造成无法估计的破坏。

　　二、“木马下载者217088”（Win32.Troj.BHO.qn.217088） 威胁级别：★★

　　病毒进入用户的电脑系统后，会在系统盘的%WINDOWS%\system32\目录下释放出病毒文件MSSCKETS.DLL和MSWSOCK2.DLL，同时还会在%Documents andSettings%\Administrator\Local Settings\Temp\目录下释放出一个1F.tmp_TMP.dll病毒文件。然后，它就擅自修改注册表，将自己的相关数据写入其中，实现随系统启动而自动运行之目的。

　　当病毒顺利运行起来后，它就随时盯着用户的IE浏览器进程，只要发现用户启动IE，它就会立即发作，悄悄建立远程连接，从http://i**pen.y**ames.com/ie**wn/这个由病毒作者指定的地址下载一份配置文件。这份配置文件可用于控制着该木马是否下载病毒、是否弹出广告、是否修改用户主页等等动作，它里面还存放着最新的其它木马病毒的下载地址。以及弹出广告的引导地址等数据。

　　如果病毒根据配置文件完成了对其它木马病毒的下载，用户使用IE浏览器时，就会遭受大量广告的骚扰。同时，用户电脑上安装的游戏也会被病毒下载下来的盗号木马偷去帐号和密码。

来源： eNet硅谷动力