病毒名称(中文)：假保安诈骗木马29632

威胁级别：★★☆☆☆

病毒类型：木马程序

病毒长度：29632

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是个下载器程序。它会从指定的网站下载一个伪装成安全软件的间谍工具到本地，欺骗用户说电脑上有异常，要求购买所谓的“正版软件”进行修复，达到骗取钱财的目的。

1.病毒运行后，会从产生以下文件

%DesktopDir%MalwareAlarm.lnk
%Programfiles%Malware-AlarmMalwareAlarm.lnk
%Programfiles%Malware-AlarmUninstall.lnk
%Programfiles%MalwareAlarm.lic
%Programfiles%MalwareAlarmMalwareAlarm.exe
%Systemroot%xpupdate.exe

2.病毒运行后会将自身拷贝至%Systemroot%xpupdate.exe

3.修改注册表启动项HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun键值为Windows update loader，指向%Systemroot%xpupdate.exe。

4.将用户系统信息以指定格式发送至http://dow***ad.M****reAlarm.com/madownload.php，并根据服务器反馈信息下载间谍软件至本地

%Programfiles%MalwareAlarmMalwareAlarm.exe

5.同时，该木马还会创建如下注册表键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstallMalware-Alarm
HKEY_CURRENT_USERSoftwareMalware-Alarm
HKEY_CURRENT_USERSoftwareMalware-AlarmIE Security
HKEY_CURRENT_USERSoftwareMalware-AlarmScan
HKEY_CURRENT_USERSoftwareMalware-AlarmUpdates
HKEY_CURRENT_USERSoftwareMalwareAlarm

增加启动项

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun键值为Malware-Alarm 指向%System%MalwareAlarm.exe。

6.下载后的间谍软件运行后会弹出虚假的提示消息，提示用户系统出现异常，要求用户购买其正版。