金山毒霸反病毒专家李铁军表示，病毒经过了复杂的加密，试图阻止反病毒软件厂商的查杀，它进入电脑系统后，就会释放出病毒文件、设置自己为开机自启动。然后弹出相应的提示，欺骗用户说安全补丁已经安装，而实际上，病毒这时候已经运行起来。

李铁军分析指出，病毒运行后，在系统盘中读取%Document and Settings%\当前用户\Application Data\ 和 %Document and Settings%\All Users\Application Data\ 两个路径，并进一步从它们的下层路径里读取一些关键文件，从中获知用户系统中安装的FTP软件及其版本号（比如CuteFTP这样的工具）。接着，读取 %WINDOWS%\目录下的win.ini文件，从中获取另一个FTP相关文件的路径，然后读取该文件中所记录的FTP连接地址、用户名和密码信息。同时，它还会记录用户系统中与FTP有关的网页记录，将这些信息同之前偷到的信息一起，写入%WINDOWS%\目录下一个名为db32.txt的文档中，发送到病毒作者指定的地址。

据了解，本周内广大电脑用户除了需要警惕“FTP资源吸血鬼135168”（Win32.Hack.Agent.135168）之外，还需要特别警惕“密码绑匪118784”（Win32.Encode.de.118784）与“愤怒肉鸡19825”（PE.Trafaret.a.19825） 两大病毒。前者继上周的“恶毒战士”之后，又一活动频率较高的诈骗型木马。它会遍历磁盘文件，找到多种格式的文件做高强度的加密，并在加密后的文件夹中留下口信，要挟用户付款解密；后者是一个黑客远程工具。它利用感染正常的exe格式文件来进行传播。它会利用中毒计算机来执行黑客指定的行为，攻击其它电脑，影响网络的正常运行。

根据本周病毒传播特点，金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年6月23日的病毒库即可查以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵，拨打金山毒霸反病毒急救电话010—82331816反病毒专家将为您提供帮助。