“假保安诈骗木马29632”(Win32.Troj.Update.a.29632)是个下载器程序。它会从指定的网站下载一个伪装成安全软件的间谍工具到本地，欺骗用户说电脑上有异常，要求购买所谓的“正版软件”进行修复，达到骗取钱财的目的。

病毒名称(中文)：假保安诈骗木马29632

威胁级别：★★☆☆☆

病毒类型：木马程序

病毒长度：29632

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是个下载器程序。它会从指定的网站下载一个伪装成安全软件的间谍工具到本地，欺骗用户说电脑上有异常，要求购买所谓的“正版软件”进行修复，达到骗取钱财的目的。

1.病毒运行后，会从产生以下文件

%DesktopDir%\MalwareAlarm.lnk
%Programfiles%\Malware-Alarm\MalwareAlarm.lnk
%Programfiles%\Malware-Alarm\Uninstall.lnk
%Programfiles%\MalwareAlarm.lic
%Programfiles%\MalwareAlarm\MalwareAlarm.exe
%Systemroot%\xpupdate.exe

2.病毒运行后会将自身拷贝至%Systemroot%xpupdate.exe

3.修改注册表启动项HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run键值为Windows update loader，指向%Systemroot%\xpupdate.exe。

4.将用户系统信息以指定格式发送至http://dow***ad.M****reAlarm.com/madownload.php，并根据服务器反馈信息下载间谍软件至本地

%Programfiles%\MalwareAlarm\MalwareAlarm.exe

5.同时，该木马还会创建如下注册表键：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Malware-Alarm
HKEY_CURRENT_USER\Software\Malware-Alarm
HKEY_CURRENT_USER\Software\Malware-Alarm\IE Security
HKEY_CURRENT_USER\Software\Malware-Alarm\Scan
HKEY_CURRENT_USER\Software\Malware-Alarm\Updates
HKEY_CURRENT_USER\Software\MalwareAlarm

增加启动项

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run键值为Malware-Alarm 指向%System%\MalwareAlarm.exe。

6.下载后的间谍软件运行后会弹出虚假的提示消息，提示用户系统出现异常，要求用户购买其正版。

关注天下网吧微信,了解网吧网咖经营管理，安装维护: