“蓝屏木马下载器36864”（Win32.TrojDownloader.Winlagons.gi.36864），这是一个木马下载器程序。该程序会关闭一些常见的杀毒软件和安全辅助软件，并修改IE首页内容，启动IE从木马种植者指定网址下载别的木马。随着被下载到电脑中的木马越来越多，系统将无法承受庞大的资源占用，几分钟后，它就可能崩溃。

         一、“蓝屏木马下载器36864”（Win32.TrojDownloader.Winlagons.gi.36864） 威胁级别：★★

根据昨日毒霸检测到的病毒发作趋势数据，我们今天首先需要留意的仍是木马下载器。此次抽取出的这个下载器与我们之前多次预警过的大多数木马下载器一样，也具有对抗安全软件的能力——不用说，这已经是木马下载器目前的一个发展趋势了。

在进入用户电脑后，它把自己的病毒文件winlugan.exe释放到系统盘的%WINDOWS%\system32\目录下，并将其写入注册表启动项，让自己能够在每次电脑开机时都跟着跑起来。

如果能顺利运行，病毒就对%WINDOWS%\system32\wbem\Repository\FS\目录下的INDEX.BTR、MAPPING.VER、MAPPING1.MAP、OBJECTS.DATA、OBJECTS.MAP等文件进行数据删改，使得自己掌握对系统命令的控制权。同时，它抢先查找并关闭金山毒霸、麦咖啡、东方微点、卡巴斯基等杀毒软件，以及安全辅助软件360安全卫士的进程，让自己的行动更加自由。

完成以上动作后，病毒就在后台建立远程连接，从http://5y*rscon**a*t.com这个由木马种植者指定的地址下载包括盗号木马在内的大量恶意程序到用户电脑上运行，给用户造成无法预计的损失。由于下载数量大、并且盗号木马进入系统后一窝蜂地注入系统进程，将导致电脑系统被严重占用，几分钟后蓝屏死机。