见到一个改写瑞星文件的病毒。
样本来自：http://bbs.janmeng.com/thread-774908-1-1.html
此毒貌似是1l1.exe的改良版。有很多行为与1l1.exe相似。
粗略观察到的动作有：
结束NOD32进程、结束windows安全中心、结束windows防火墙。从网络下载大量病毒。多DLL插入多个应用程序进程。
与原先那个 1l1.exe不同的是：这个down.exe在开启瑞星全部监控的条件下改写了瑞星的部分文件

 附件: 您所在的用户组无法下载或查看附件


附上样本（密码：123）

 附件: 您所在的用户组无法下载或查看附件

此毒的注册表改动如下：


 附件: 您所在的用户组无法下载或查看附件
用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; InfoPath.1)