这个下载器是通过破解用户帐号的密码来突破电脑控制权限的，它自带有一个密码簿，里面包含大量的简单口令。如果遇到设置有密码的电脑，它就会以此来尝试进行破解。

　　当获取了电脑的控制权限，它会尝试建立映像劫持，令用户电脑中的安全软件失效，变成它的傀儡。如果用户试图启动这些安全软件，唯一的结果就是不断地启动病毒而已。它的黑名单较大，目前国内主流的安全软件都在其中。

　　接下来，它悄悄连接http://8****63.com这个由病毒作者指定的网站，下载一份地址列表，按照列表里的链接去下载大量的盗号软件和后门控制木马，给用户带来无法预测的损失和麻烦。

　　同时，病毒作者给该毒配置了AUTO传播功能，该毒会在所有的磁盘分区中生成自己的AUTO文件，其中主文件为隐藏属性的w.exe，而一个Autorun.inf会指向该文件。当用户在中毒电脑上使用U盘等移动存储设备时，病毒就能实现自动感染，实现高效的自动传播。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/worm-autorun-m-147456-51985.html

　　此外值得关注病毒

　　“伪装配置器5632”（Win32.TrojDownloader.Mnless.5632）威胁级别：★

　　该下载器是某木马下载器的组成模块，它既可以与其它文件相互配合，又能够独立运行，适应力比较强。

　　即便在没有主文件帮助的情况下，该毒也可以修改系统注册表，跟着系统配置实用程序Msconfig的启动而实现开机自启动。

　　它运行起来后，在%Windows%\system32\目录中释放出配置文件mscfg.ini，然后连接病毒作者指定的远程地址http://www.fa**ei.net，更新该文件。当更新完成，就可以读取配置文件中的地址去下载其它木马了。

　　每下载完一个木马，它都会立刻将其运行，木马进程名都是msconfig.exe，由于这和系统配置实用程序的进程名一样，有助于它实现伪装。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/win32-trojdownloader-mnless-5632-51987.html

　　“无影下载器208896”（PE.kukurel.a.208896）威胁级别：★

　　该毒对注册表中的修改非常多，进行了一系列眼花缭乱的调整，让自己实现开机自启动，并尝试删除多款安全软件在注册表中的数值。

　　经毒霸反病毒工程师检查，它所删除的都是些国外的安全软件，由此猜测，这很可能是一个海外网络中的流行木马。

　　当解决掉安全软件，该毒就删除自己的原始文件，避免用户发现系统中出现多余的文件。并于随后建立下载程序，在后台悄悄连接病毒作者指定的远程地址，下载多个木马执行，并于执行完毕后将它们的原始文件也删除，显得十分谨慎。

　　由于是一边下载一边运行木马，系统资源会被占用较多，有时甚至会严重影响电脑运行速度。用户如发现电脑突然变慢，就需要提高警惕了。

　　关于该病毒的详细分析报告，可在金山病毒大百科中查阅http://vi.duba.net/virus/pe-kukurel-208896-51990.html