10.16病毒预警：“套牌迅雷”伪装迅雷下载器的进程名

　“套牌迅雷195219”（Win32.Hack.Delf.ao.195219），这是一个黑客远程木马。它的进程名为Thunder.exe，和迅雷下载器的进程十分接近，很明显病毒作者试图以此骗过用户的注意。病毒运行后就开启后门，等待黑客的入侵。

　　“伪装配置器5632”（Win32.TrojDownloader.Mnless.5632），这是一个下载器程序。它体积小巧，属于某木马的一个模块，主要任务就是执行下载任务。

　　一、“套牌迅雷195219”（Win32.Hack.Delf.ao.195219）威胁级别：★

　　该远程木马的伪装技术比较简单，病毒作者将病毒名称设置为Thunder.exe，看上去很像迅雷下载器的进程名，如果用户对自己的电脑不熟悉，就有可能被骗过。

　　当进入系统后，该毒将Thunder.exe释放到%WINDOWS%\SYSTEM32\目录下，然后修改注册表启动项，把自己设置为系统服务，达到开机自启动之目的。接着就生成一个Deleteme.bat文件，把自己的原始文件删除，防止被用户发现。

　　在下一次开机时，病毒运行起来，在后台建立远程连接，与病毒作者指定的黑客服务器进行通讯，等待黑客的入侵。

　　如果没有安装迅雷的用户发现%WINDOWS%\SYSTEM32\目录下出现Thunder.exe，很有可能就是此毒。而如果安装有迅雷的用户发现进程中出现两个Thunder.exe，也需要提高警惕。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-hack-delf-ao-195219-51986.html

　　二、“伪装配置器5632”（Win32.TrojDownloader.Mnless.5632）威胁级别：★

　　该下载器是某木马下载器的组成模块，它既可以与其它文件相互配合，又能够独立运行，适应力比较强。

　　即便在没有主文件帮助的情况下，该毒也可以修改系统注册表，跟着系统配置实用程序Msconfig的启动而实现开机自启动。

　　它运行起来后，在%Windows%\system32\目录中释放出配置文件mscfg.ini，然后连接病毒作者指定的远程地址http://www.fa**ei.net，更新该文件。当更新完成，就可以读取配置文件中的地址去下载其它木马了。

　　每下载完一个木马，它都会立刻将其运行，木马进程名都是msconfig.exe，由于这和系统配置实用程序的进程名一样，有助于它实现伪装。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-mnless-5632-51987.html

　　金山反病毒工程师建议

　　1.最好安装专业的杀毒软件进行全面监控，防范日益增多的病毒。用户在安装反病毒软件之后，应将一些主要监控经常打开（如邮件监控、内存监控等）、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。

　　2.由于玩网络游戏、利用QQ等即时聊天工具交流的用户数量逐渐增加，所以各类盗号木马必将随之增多，建议用户一定要养成良好的网络使用习惯，如不要登录不良网站、不要进行非法下载等，切断病毒传播的途径，不给病毒以可乘之机。

　　金山毒霸反病毒应急中心及时进行了病毒库更新，升级毒霸到2008年10月16日的病毒库即可查杀以上病毒；如未安装金山毒霸，可以登录http://www.duba.net免费下载最新版金山毒霸2008或使用金山毒霸在线杀毒来防止病毒入侵。拨打金山毒霸反病毒急救电话010—82331816，反病毒专家将为您提供帮助。