木马下载器病毒OnlineGames下载游戏木马

Win32.Troj.OnlineGames.sj，威胁级别:★★☆☆☆

病毒行为：

这是一个木马下载器，它能下载大量的游戏木马。

1、拷贝文件

病毒运行后，会把自己拷贝到系统目录下。

%Windows%\system32\servest.exe

2、注册服务

病毒会注册一个名为Windowstt的服务，使病毒随系统启动。

3、利用autorun自启动

病毒会生成autorun文件，利用autorun实现自启动。

4、反杀毒软件

病毒会使用鼠标模拟点击的方法尝试关闭杀毒软件发现病毒的窗口。

5、下载其它病毒

病毒会下载以下地址的病毒：

h**p://down.******.cn/arp/1.exe

h**p://down.******.cn/arp/2.exe

h**p://down.******.cn/arp/3.exe

h**p://down.******.cn/arp/4.exe

h**p://down.******.cn/arp/5.exe

h**p://down.******.cn/arp/6.exe

h**p://down.******.cn/arp/7.exe

h**p://down.******.cn/arp/8.exe

h**p://down.******.cn/arp/9.exe

h**p://down.******.cn/arp/10.exe

h**p://down.******.cn/arp/11.exe

h**p://down.******.cn/arp/12.exe

h**p://down.******.cn/arp/13.exe

h**p://down.******.cn/arp/14.exe

h**p://down.******.cn/arp/15.exe

h**p://down.******.cn/arp/16.exe

h**p://down.******.cn/arp/17.exe

h**p://down.******.cn/arp/18.exe

h**p://****.net/new/system22.exe

h**p://down.******.cn/arp/19.exe

以上病毒都是游戏木马，另外还带有一个感染型病毒，使用户计算机感染了数量众多的病毒。

周末华军和联想网站被挂，就有这个下载器，今天这个样本是在另一个企业抓到的，下载器不同，下载的马是一样的，应该是一个组织干的。