另一款伪装下载者病毒可以将自己伪装成浏览器的组件，然后再后台远程下载病毒。

　　“伪装下载者3584”（Win32.MiniDrop.3584），这是一个下载者木马程序。它运行后，会注册为浏览器帮助对象，侵入explorer.exe、spoolsv.exe等程序中，利用它们的空间运行自己，然后远程下载病毒文件到本机运行。

　　“浩方盗号木马73728”（Win32.PSWTroj.OnlineGames.oe.73728），此病毒是针对网络游戏平台“浩方”的盗号木马。病毒运行后会注入“浩方”进程，截获用户帐号信息，并把盗得的信息以网页提交的方式发送到木马种植者手上。

　　一、“伪装下载者3584”（Win32.MiniDrop.3584）  威胁级别：★★

　　病毒进入电脑系统后，在系统盘的%WINDOWS%\system32\目录下释放出4个病毒文件，它们分别为.exe、.dll、.ini、. ini2后缀的文件。需注意的是，这4个文件采取随机命名，但不论采用怎样的名称，文件名都只有5个字符，这就可以做为辨认它们的一个特征。

　　同时，病毒修改注册中的相关数据，将自己添加到系统自启动项，实现随windows系统启动而运行之目的。它会注册为浏览器帮助对象，骗取用户的信任，当用户启动资源管理器或IE浏览器时，就会自动加载病毒文件。

　　病毒运行起来后，会侵入explorer.exe、spoolsv.exe等系统进程中，创建一个rundll32.exe进程，运行之前生成的. dll病毒文件。并且，病毒会定时检查自己的进程是否在运行中，若未运行便重新创建一个病毒进程，以保证自己的犯罪行为能持续进行。

　　最后，病毒悄悄连接http://www.o3*6*.com这个由木马种植者指定的地址，下载更多其它病毒到用户电脑上运行，给用户的系统安全带来无法估计的威胁。

　　二、“浩方盗号木马73728”（Win32.PSWTroj.OnlineGames.oe.73728）  威胁级别：★

　　病毒进入用户电脑后，在系统盘中释放出两个病毒文件，分别为%WINDOWS%目录下的winform.exe和%WINDOWS%\system32\目录下的winform.dll。随后，它修改注册表相关信息，将自己加入启动项，实现开机自动运行之目的。

　　当顺利地运行起来，病毒就搜索“浩方”对战平台的进程，发现后立即展开消息监视，伺机窃取用户的账号资料，把盗取的账号资料通过网页提交的方式发送木马种植者指定的地址http://www.*****.cn/hf2/post.asp，使用户遭受虚拟财产的损失。

　　此外需要注意，此病毒具有自我删除功能，当运行完毕后，它会删除自己的原始文件，让用户找不到病毒源。同时，它在作案时会将用户系统中已安装的杀毒软件强行关闭，造成用户电脑系统的安全等级大大降低。

暧味日志

• auto病毒专杀工具 (0)
• 使用iGoogleBar强化你的Google服务列表栏 (0)
• 微软强行升级浏览器到IE7 (0)
• IE7Pro 2.0正式发布 (0)
• 怎样在 Firefox 中打开 QQ 链接和邮箱 (1)