Win32.Troj.DownArpT.xo.135168

病毒名称海量下载器XO号

威胁级别★★☆☆☆

病毒类型木马下载器

病毒长度33180

影响系统Win9x WinNT Win2000 WinXP Win2003

病毒行为这是一个下载者，当用户运行病毒源以后，会立即从网络上下载海量病毒并且会立即执行起来，严重占用系统资源，造成吨度年个 瘫痪。执行成功后，病毒源文件会自删除，使用户无法找到病毒源。该病毒下载的海量病毒有盗号的功能。在这些病毒里面，还有个别病毒会下载ARP病毒，当下载了ARP病毒以后，局域网内的机器极大可能会被欺骗，然后出现网络故障。

1.病毒运行后，生成非常大量的病毒文件在系统盘中。分别有:%系统盘%、%Content.IE5%、%windows%、%windows%fonts、%system32%

2.病毒运行成功后会自删除，使用户无法找到病毒源。

3.病毒运行后，被下载的病毒文件会立即跑起来，使系统严重瘫痪，用户操作系统十分艰难。

病毒下载地址是:http://www.nba*****71.com/(1-20).exe

4.使用反间谍隐蔽软件扫描，可以发现有众多的盗号木马已下载，如：魔域、QQ等。

5.在该病毒下载的一批病毒中，还会有个别病毒会下载ARP病毒，当用户中了ARP病毒后，在同一个局域网内都有可能遭受欺骗，然后下载病毒，使局域网内的机器网络极其不稳定。

6.启动项被修改，内容如下：

启动项名:upxdnd 对应路径:%windows%upxdnd.exe

7.从反间谍的隐蔽软件扫描出的信息中可以查看到，该病毒还会破坏userinit.exe系统文件以及安全软件。当病毒破坏了userinit.exe系统文件以后，可能用户在重启系统后，就无法正常登录系统，则会一直停留在登录界面。当安全软件都被破坏的时候，用户的系统安全性将大大降低。