病毒在进入用户系统之后，会首先将conime.exe、internat.exe、ctfmon.exe这三个病毒文件释放到系统盘的%WINDOWS%\system32\dllcache\目录下，并且覆盖感染系统桌面进程的文件explorer.exe。这样，只要用户启动电脑，病毒就能够随着explorer.exe的运行而跟着跑起来。

　　一旦病毒开始运行，它会查找当前系统中是否安装有杀毒软件“卡巴斯基”，如有，则修改系统时间为2001年导致卡巴失效，同时创建线程搜索并强行中止安全辅助软件“360安全卫士”的进程，对于“Windows文件保护”的警告窗口，它也会将其隐藏，不让用户知道系统正受到破坏。

　　当解除掉用户电脑的防御，该病毒就悄悄建立远程连接，从木马种植者制定的网址http://www.33**92.com/下载一份名为hostx.txt的木马列表，根据上面的地址去下载更多的其它恶意程序，给用户系统造成各种可能的破坏。

　　由于此病毒是对explorer.exe采取覆盖式感染，被查杀后，系统桌面将不能启动。因此，对它还需以预防为主。

　　二、“窃听者木马276480”(Win32.Troj.AgentT.vx.276480) 威胁级别：★★

　　病毒进入电脑系统后，会把病毒文件spool.exe释放到系统盘的%windows%\system32\目录下，并迅速修改注册表中的数据，将该文件加入启动项，使自己实现开机自启动之目的。

　　为了迷惑用户，更好的潜伏在系统中，病毒在建立启动项时，会将其命名为“Microsoft Update”，看上去就像是系统自带的升级程序组件。而实际上，它在运行起来后所做的建立监视程序，记录用户使用IE浏览器时浏览的网址、搜索的关键字等信息。

　　将记录到的信息汇总之后，病毒会在后台建立远程连接，在用户无法知晓的情况下，将它们发送至木马种植者安排的地址http://bi**ao.me**u.com。通常情况下，这类数据会被木马种植者用来统计中毒用户的上网习惯，达到商业目的，但这无疑会造成用户的个人隐私或商业机密的泄露。如果被不怀好意者掌握这类数据，用户甚至有可能遭受损失。

　　金山毒霸反病毒工程师建议：

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开(如邮件监控、内存监控等)、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ聊天的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，及时升级杀毒软件，开启防火墙以及实时监控等功能，切断病毒传播的途径，不给病毒以可乘之机。