“管道隐藏者118784”(Win32.Worm.Downloader.a.118784)，这是一个蠕虫病毒。它会利用系统漏洞感染PE文件，冒充系统服务进程svchost.exe启动服务。还会自动下载更新，并通过一些简易密码，传染局域网内的其它电脑。同时枚举电子邮箱地址，不断向外发送含毒邮件。

　　“拆窗蠕虫66576”(Win32.Troj.backdoor.ya.66576) 威胁级别：★★ 此病毒的源文件名称是zsmscc071001.exe，潜入用户系统后，它会先瞧瞧自己是否处于%windows%\system32\目录下，如果不是，便将自己复制到该目录下，并建立批处理程序，将原来位置上的文件删除，避免用户发现。

　　之后，它释放出三个病毒文件，分别是%windows%\system32\目录下的zsmscc071001.dll和zsmscc32.dll，以及%windows%\目录下的zsmscc16.ini，它们各有分工。其中zsmscc16.ini是木马的配置文件，记录着木马的当前版本号及安装的路径，而zsmscc071001.dll负责监控及自我保护，zsmscc32.dll则是木马的主要功能，可以实现对外通信和传染等功能。

　　由于安全软件的保护，病毒无法顺利作案，因此它会首先搜索并强行关闭打开的安全软件窗口，这个过程中，金山、卡巴斯基、瑞星、360安全卫士、江民等厂商的产品将被关闭。同时被关闭的还有其他任何含有杀毒、查毒、启动项管理、进程项管理等类似字样的窗口和系统工具。包含范围非常广。

　　完成以上步骤后，病毒便利用之前生成的DLL文件在系统中制造后门，接收远程指令。这样一来，其它病毒、木马，以及黑客便可顺利的进入电脑系统，给用户造成更大损失。

　　“管道隐藏者118784”(Win32.Worm.Downloader.a.118784) 威胁级别：★★

　　病毒运行后，会在%Windows%目录\下生成svchost.exe，同时在当前所处的目录下生成kfo11.bat文件。然后，利用kfo11.bat将源文件删除，并修改注册表，将自己的文件显示模式设为隐藏，这样一来，用户便不容易发现它了。

　　值得注意的是，病毒会冒充Windows的网络管理服务，如果查询其属性，看到的显示名为“Windows Network Management”、描述是“为Windows提供网络管理服务。”、而路径为“ %Windows%\svchost.exe”。同时，此病毒会破坏系统更新文件日志，阻止系统更新修补漏洞，给自己争取到更久的潜伏时间。

　　 随后，病毒搜索感染机器的PE文件，获取PE文件信息，并建立管道(pipe)后门，为黑客远程入侵提供便利，并打开病毒更新接口。下载的新病毒文件以elf_downloader.pdb的名称保存到f:\source\cg\rubbish\elf_downloader\Releas\目录下。病毒还会利用自己携带的一批简单密码来破解区域内的其他计算机密码，继续感染其他机器。同时，它还会枚举大量的电子邮箱地址，不断的发送含毒邮件，进一步传播病毒。