setupapi.dll,Win32.TrojDownloader.Mnless.34816

Win32.TrojDownloader.Mnless.34816是一个下载器程序。它能利用IE、OPERA、FIREFOX等多种浏览器加载自己，然后调用系统中的FTP工具进行病毒下载行为，引起更大的破坏。

1. 主程序主要用于释放setupapi.dll到IEXPLORER目录下，下面都是该dll的操作
2. 检查当前的dll是否被IEXPLORER.EXE、OPERA.EXE、FIREFOX.EXE加载，若不是，退出程序
3. 调用本dll时，如果不是加载状态，则检查是否是在winnt以上的系统，若是则用LoadLibrary加载自身
4. 检查是否存在以下注册表项，即已经被感染，若是退出程序
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DigitalProductId
5. 检查注册表，是否存在FlashFXP、VanDyke SecureFX、Ipswitch WS_FTP、LeapFTP等工具，若存在则调用该工具去http://66.1*9.2*1.1*8/ftpg/ftp.php得到病毒的ftp地址，并从提供的地址中下载病毒程序到工具默认的文件夹并运行