经过对AV终结者、机器狗、磁碟机等一系列“重量级”病毒，以及磁碟机“藏匿”后涌现出的新病毒的分析，腾飞和同事们发现，在磁碟机事件后，国内计算机的开机蓝屏、杀毒软件无法启动的案例依旧没有减少，而罪魁祸首是一批具有AUTO传播功能的下载器程序。可是大部分用户和一些安全厂商沉浸在“打败”磁碟机的喜悦中，仅仅将这些现象作为常规病毒来处理，全然没有意识到一个不同于磁碟机的“慢性病毒”已接过磁碟机的接力棒。

“真不知道做病毒的人还有完没完，刚送走磁碟机这么一个瘟神，又来了堆AUTO小鬼。”腾飞摇着头笑笑。他认为病毒作者之间是有直接联系的，最近连续的几个重量级病毒可能是病毒作者们向反病毒行业轮流发起的挑战，为的是削弱安全软件厂商们的意志。“下载器一个又一个，我们的时间全耗在上面了，平时回家就很晚，原本还指望着周末能和老婆去湾仔吃海鲜，结果还是得吃食堂。”

“要知足！要知足！食堂免费又好吃！结婚的男人耳朵太软了！”另外几个仍打着光棍的反病毒工程师故意嚷嚷着。

腾飞从压缩包里找出一个病毒，把它丢进OLLYDBG，几秒钟后病毒的二进制代码就全部显示了出来。“这段时间我们分析了不少病毒，从代码上就可以很明显的看出，这些病毒在一些关键技术上具有相似之处。”腾飞说。“关闭进程，解除安全软件的印象劫持，恢复SSDT表，主动防御功能就失效了，好几个病毒都是这么干。”

半个小时后，腾飞看完代码，“又是一个下载器，水牛的新变种，有点难对付，清理专家和毒霸搞不定，得做专杀。”他转过头，冲着身后一个卡位上喊了声，“Sakana！和你猜的一样，有活干啦！我写完分析报告就交给你。”

Sakana是腾飞的同事，担任毒霸反病毒工程师已经两年了，虽然看上去仍带着学生的稚气并且电脑上摆满了日式卡通模型，却已是病毒流行趋势分析和病毒专杀工具方面的专家。在磁碟机仍在肆虐时，他就已经开始担心会涌现出大批磁碟机的“弟子”，并且采用普通方法无法处理，果然应验了。

吃过午饭后，腾飞把一份完整的病毒分析报告发给了Sakana，这个速度在病毒分析工作哦中已经是比较快的速度，一些刚入门的病毒分析师，可能要用一整天。从分析报告上，可以一目了然地看出，这个版本的水牛已经不同于病毒作者以前那些自娱自乐式的版本，早先的版本，清理专家就可以将其清除干净，而这个版本却针对毒霸进行了猛烈的对抗，它通过搜索进程和窗口名称、查找编码、模拟用户指令、恢复SSDT表等方法，轻而易举地就把毒霸、清理专家，以及其它多家国内外知名厂商的产品干掉，即便是宣称自己拥有主动防御技术的一些厂商也不能幸免。当杀毒软件都被解决之后，“水牛”就下载大量盗号木马执行盗号。