"李鬼卡巴42492"（Worm.AutoRun.42492），這是一個下載者木馬。它通過修改時間的方法使殺毒軟體卡巴斯基失效，同時把自己偽裝成卡巴斯基7.0的服務程式，在後臺悄悄下載大量的木馬病毒檔並運行。此病毒還會在所有磁片分區的根目錄下創建AUTO病毒，以便傳播自己。

"平凡下載器變種90112"（Win32.Trojdownloader.Agent.90112），這是一個木馬下載者程式變種。病毒運行後會複製自身至系統盤中，並在所有硬碟分區的根目錄下生成AUTO病毒。它還會載入一個病毒進程，利用Iexplore.exe在後臺連接遠端伺服器，下載大量病毒及廣告。

一、"李鬼卡巴42492"（Worm.AutoRun.42492） 威脅級別：

病毒進入用戶的系統後，會把自身病毒檔sky.exe複製到系統盤的%WINDOWS%\system32\目錄下，並將其屬性設為系統隱藏檔，以免被用戶發現。緊接著，它就搜索殺毒軟體卡巴斯基的進程，如果找到，立即修改系統時間為1981-01-12，導致依賴系統時間卡巴斯基失效，然後，病毒就會試圖刪除卡巴斯基的服務。

隨後，病毒修改系統註冊表，把自己的相關資訊加入啟動項，這樣以後它都能隨系統啟動而自動運行起來。同時，它還會偽裝成卡巴斯基7.0的服務程式。從修改時間時算起，15秒後，病毒恢復正確的系統時間，這樣，它成功完成"偷天換日"，搖身變成了卡巴的模樣，而用戶卻仍蒙在鼓裏。

當病毒順利地開始運行後，它就在後臺建立遠端連接，從木馬作者指定的位址下載大量其他木馬檔，並立刻運行它們。同時，病毒將自身檔sky.exe複製到各磁片的根目錄下，並創建對應的autorun.inf檔，只要用戶在中毒電腦上使用U盤等移動記憶體，病毒就會立刻將其傳染，擴大自己的感染範圍。此外，該病毒具有自我刪除的功能，當運行完後，它就在%WINDOWS%\system32\目錄下創建一個Deledomn.bat檔，將自己的原始檔刪除。

二、"平凡下載器變種90112"（Win32.Trojdownloader.Agent.90112）威脅級別：

病毒進入電腦系統後，會在系統盤的%windows%\system32\目錄下釋放出病毒檔TxHMoU.Exe，並在全部的磁片分區根目錄下都生成AUTO病毒檔SoS.Exe和AUToRUN.Inf，只要用戶雙擊含毒磁片的盤符，病毒就會立即被啟動。而如果用戶在中毒電腦上使用U盤等移動記憶體，病毒會立刻將其傳染，以擴大自己的感染範圍。

隨後，病毒修改註冊表，將自己的相關資訊加入其中，實現開機自動啟動之目的，並載入之前生成的TxHMoU.Exe檔，在後臺打開IE流覽器的進程Iexplore.exe，利用它建立遠端連接。從http://xx.5**l*ve.cn這個由木馬作者指定位址下載大量其他病毒及廣告，給用戶的系統安全造成更大威脅，甚至造成用戶個人隱私的洩露。

木馬作者在進行破壞的同時，還會給自己打打廣告，他在病毒中附上自己的名字和聯繫方式，讓人覺得比較囂張。

金山反病毒工程師建議

1.最好安裝專業的殺毒軟體進行全面監控，防範日益增多的病毒。用戶在安裝反病毒軟體之後，應將一些主要監控經常打開（如郵件監控、記憶體監控等）、經常進行升級、遇到問題要上報，這樣才能真正保障電腦的安全。

2.由於玩網路遊戲、利用QQ聊天的用戶數量逐漸增加，所以各類盜號木馬必將隨之增多，建議用戶一定要養成良好的網路使用習慣，及時升級殺毒軟體，開啟防火牆以及即時監控等功能，切斷病毒傳播的途徑，不給病毒以可乘之機。

資料來源：金山毒霸