病毒名称(中文):
伪装下载者3584

病毒行为:

这是一个下载者木马程序。它运行后，会注册为浏览器帮助对象，侵入explorer.exe、spoolsv.exe等程序中，利用它们的空间运行自己，然后远程下载病毒文件到本机运行。

1.病毒运行后，产生以下病毒文件
%system32%\gebca.exe
%system32%\gebca.dll
%system32%\acbeg.ini
%system32%\acbeg.ini2
病毒生成的文件的实际文件名为五个字符组成的随机串。

2.修改注册表，添加了系统自启动项，随windows系统启动。

3.注册为浏览器帮助对象，当启动资源管理器或ie时，会自动加载病毒文件。

4.侵入explorer.exe, spoolsv.exe等程序中，创建一个rundll32.exe进程运行gebca.dll病毒文件。病毒定时检查rundll32.exe进程是否在运行中，
若未运行，病毒重新创建一个rundll32.exe进程运行gebca.dll。

5.远程下载病毒文件在本机运行。