Win32.Troj.Autorun.qp.90721

这是一个下载者。该病毒运行后，会立即从网络上下载大量的病毒，种类繁多。该毒会严重占用系统资源。并且会向网络发送数据，占用网络资源。并且被下载的病毒还有盗号功能，如盗"QQ"、"魔域"等。

1.病毒运行后，生成以下病毒文件
D:\SysAuto.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\System48.zip
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SysInfo.yer
D:\Autorun.inf
如果用户的系统没有D盘，则病毒运行后不会生成sysAuto.exe和autorun.inf病毒文件，这两个病毒文件具有系统隐藏属性

。

2.添加注册表启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrenVersion\Explorer\
ShellExecuteHooks\665E9AE4-DFB5-4EA7-96EA-FE715E962664

3.下载文件
http://down.v****.com/union/*.exe
http://down1.v****.com/union/*.exe
http://down1.v****.com/union/*.exe
并运行以上这些程序。这些都是一些盗号木马，隐蔽软件等等恶意程序。

4.该病毒运行后，在任务管理器中可以看到有许多病毒进程跑了起来，严重占用系统资源。

5.sysinfo.yer会注入到每一个已打开的进程，进行下载。

6.使用反间谍里的隐蔽软件扫描可以发现有QQ、魔域、等多种盗号木马。