“杀手广告119784”（Win32.Troj.KillAVT.ah.119784），这个病毒是个广告木马程序。病毒作者在对抗安全软件方面，参考AV终结者的一些行为。如成功入侵系统，它就会弹出许多的广告窗口，严重干扰用户的正常使用。

    “挂马广告弹射器57472”（Win32.Adware.AdClicker.wg.57472），这是一个普通的广告木马。它会弹出广告窗口，迫使用户浏览病毒作者指定的网站，为这些网站刷流量。

    一、“杀手广告119784”（Win32.Troj.KillAVT.ah.119784） 威胁级别：★

    这个广告木马具有对抗安全软件的能力，它在进入用户系统后，就利用自己的驱动文件恢复系统SSTD表，穿透安全软件对系统的防护。

    该毒释放出%WINDOWS%目录下的Winxp.dll和%WINDOWS%\system32\drivers\目录下的winsawids.sys，以及%WINDOWS%\system32\目录下的psapi.dll。Winxp.dll是病毒主文件，它会被写入注册表启动项，实现开机自启动，以便加载psapi.dll。Psapi.dll的任务是修改用户的系统配置，让其它模块的运行更顺利。

    而winsawids.sys就是病毒的驱动，当利用它解除安全软件的防御后，病毒就进一步利用映像劫持和字串搜索，令安全软件彻底瘫痪，不过它的黑名单并不大，仅包含了金山毒霸和瑞星。

    如果顺利解除了安全软件的武装，该毒就会注入IE浏览器，弹出大量的广告页面，迫使用户浏览，为这些网页赚取流量。

    二、“挂马广告弹射器57472”（Win32.Adware.AdClicker.wg.57472） 威胁级别：★

    该毒行为简单。它将自己的文件spoclsv.exe释放到%WINDOWS%\SYSTEM32\drivers\目录后，就修改注册表启动项，实现自启动，连接病毒作者指定的网址，弹出这些网站的窗口，给它们刷流量。

    根据毒霸反病毒工程师的检查，这些网站大多挂得有脚本木马，如果用户系统中存在安全漏洞，就会被感染，而这些木马大多为下载器程序，能下载更多其它木马到系统中运行，引起很多麻烦。

    即时安装补丁是对付此类广告木马的最佳措施，这样，即便广告木马弹出广告，系统也不会因为存在漏洞而被下载器们趁虚而入。