昨天下班，一兄弟的电脑上，毒霸发现一堆盗号木马，和毒霸论坛上反馈的情况类似。使用Sreng分析，发现一堆DLL文件插入正常程序的进程，hosts中禁止了一大堆安全软件的网站，各磁盘分区被写入autorun.inf和另一个随机8位字符的EXE。用毒霸清理专家的文件粉碎器和Sreng的日志分析，把这些SYS、DLL文件全部干掉，才没有继续下载onlinegame木马。

　　风险分析：这位兄弟的电脑涉及公司很多机密信息，平常非常注重安全管理，系统补丁，管理员口令，甚至权限都很严密，自动播放也被禁止。配置了毒霸自动杀毒和更新，发现病毒是极为罕见的事情，也会被认为是重大安全事件。风险来自哪里呢？

　　仔细分析后，发现与打开Web迅雷有关，这是已经升级到最新的Web迅雷版本。尝试重新打开Web迅雷，很快毒霸又报告发现木马。尽管，我尚无法分析出是有关Web迅雷的具体漏洞。已经感觉到这些病毒，是和Web迅雷的下载行为是相关的。

　　在分析最近发现的那些插入正常程序进程的DLL病毒时，我明显感觉到病毒的版本更新速度超过了杀毒病毒库的更新速度，病毒程序的在线升级速度，也快过杀毒软件的升级速度。（写到这儿，又会有粪青耻笑了——谁让你用毒霸），我要说的是，每次，我从论坛或客户那边拿到的这些样本，都会用各种杀毒软件检查一遍，目前，我没有发现任何一个产品能检查到全部样本。

　　在病毒作者的圈子中，交换程序代码相当普遍，怀疑他们用来对付杀毒软件的代码，也是共享的。而杀毒厂商之间，显然，还没有实现这一点。这就要我们更加关注服务，关注应急响应。我很高兴地看到毒霸在这方面进展迅速，珠海兄弟们很辛苦，谢谢他们！