循環癱瘓下載器創建副本　隨時恢復自身

【賽迪網-IT技術報道】「循環癱瘓下載器208896」(Win32.Troj.Agent.bk.208896)是一個病毒下載器。該病毒運行後會修改用戶的計算機配置信息，關閉用戶機器上運行的流行殺毒軟體和防火牆，從網絡上下載大量木馬，盜竊用戶電腦中有價值的敏感信息。

病毒名稱(中文)：循環癱瘓下載器208896

威脅級別：★★☆☆☆

病毒類型：木馬下載器

病毒長度：208896

影響系統：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行為：

這是一個病毒下載器。該病毒運行後會修改用戶的計算機配置信息，關閉用戶機器上運行的流行殺毒軟體和防火牆，從網絡上下載大量木馬，盜竊用戶電腦中有價值的敏感信息。

1、釋放文件

%systemroot%/system32/msosiocp.dll%systemroot%/system32/Setup/en_1072.bin

如果用戶機器上安裝了卡巴反病毒軟體，病毒釋放一個驅動程序%systemroot%system32//drivers/beep.sys。如果沒有安裝卡巴，病毒釋放這個驅動程序到%temp%目錄，並且文件名隨機。

2、對抗殺毒軟體

病毒啟動自己釋放的驅動程序。該驅動程序的作用就是恢復系統SSDT表，使一些反病毒軟體的主動防禦功能失效。

驅動程序運行完以後，病毒馬上將其註冊表項刪除，需要運行時再創建。

病毒還會不斷的查找反病毒軟體的主窗口，並強行將其關閉。

3、下載病毒

該病毒從網上下載一個下載列表，下載列表的URL為http://c.15**m.com/okok.txt。

病毒下載列表裡的所有病毒，並運行它們。這些被下載的程序都是木馬程序，主要是盜取用戶的網絡遊戲賬號密碼，以及其他一些私密信息。

(