“死猪下载器147456”(Win32.Troj.EncodeXor.a.147456)，这是一个下载器程序。它采取双进程同时运行的方法来实现自我保护，并会破坏大量安全软件的正常运行。之后就在后台下载大量的其它木马程序。

　　“木马对抗模块4224”(Win32.Hack.Rootkit.4224)，这是一个病毒驱动文件。它是某木马的组成模块之一。它会恢复系统的SSDT表，让具有主动防御功能的杀毒软件失效。

　　一、“死猪下载器147456”(Win32.Troj.EncodeXor.a.147456) 威胁级别：★★

　　这个病毒是个木马下载器程序，它的原理并不复杂，但攻击性较强。因为它在进入电脑后，会疯狂地映像劫持几乎所有目前的主流安全软件，造成电脑完全丧失防御能力。

　　该毒进入电脑后，在%WINDOWS%\system32\目录下释放出病毒文件SiZhu.exe(中文音同“死猪”，这个文件名有些不雅，不过也可看出病毒作者的目的，就是把用户的安全软件弄死)，同时，它把该文件的副本与一个AutoRun.inf文件散播到全部磁盘分区的根目录下。这样做，能够帮它感染用户插到中毒电脑上的U盘等移动存储设备，实现更大规模的传染。

　　接下来，它修改注册表启动项，让自己实现开机自启动，且采取同时运行多个进程的方式，躲避用户的手动查杀。

　　然后，它建立映像劫持，试图让金山毒霸、卡巴斯基、瑞星、NOD32、赛门铁克、麦咖啡等主流杀毒软件，以及金山清理专家、360安全卫士等安全辅助软件瘫痪。

　　如果成功破坏了安全软件，病毒就会连接到指定的远程地址http:/ /whh.9**6.org ，下载一份病毒列表，再根据列表中的地址下载大量的木马程序。它下载的木马程序中，大部分是网游、网银盗号木马，可能会对用户的虚拟财产、银行存款、商业机密等构成无法估计的威胁。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-troj-encodexor-147456-50800.html

　　二、“木马对抗模块4224”(Win32.Hack.Rootkit.4224) 威胁级别：★

　　这个病毒虽然可以独立运行，但它无法独自为病毒作者带来利润，毒霸反病毒工程师认为它属于某个木马文件的组成部分，目的是解除一些杀毒软件的主动防御功能，便于木马的下一步行动。

　　该毒一进入系统，就会获取当前系统的第一个模块(Xp系统为ntkrnlpa.exe、2000系统为ntoskrnl.exe)，得到其模块的基址。然后，通过一系列计算，得到原始系统服务函数地址。接着，它就会执行自己的函数，恢复SSDT表，让具有主动防御功能的杀毒软件失效。

　　剩下的工作，就由木马的其它模块来完成了，根据病毒作者的安排，这些模块可能是远程控制木马，也可能是盗号木马，总之，不会是什么好东西。如果用户在自己电脑中发现了此毒，则说明电脑中还有其它病毒文件。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-rootkit-4224-50801.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年7月12的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。