“网友泡泡在论坛诉苦：下载U盘量产工具，运行后发现根本不是量产工具，桌面IE图标打开都是网址导航站，还被强行安装多个互联网软件。”9月23日，金山毒霸拦截到此类病毒，病毒的运行方式如推倒多米诺骨牌，可绕过多款安全软件，金山毒霸可以查杀。

　　网友泡泡下载的所谓“U盘量产工具”，实际为病毒作者拿正常互联网软件下载器修改，只将原程序下载正常软件的目标地址修改为病毒。金山毒霸工程师指出，可以被病毒作者改造的中国互联网软件下载器数以千计，这类工具将成为病毒传播的新机会。

　　运行这个被改造的软件下载器之后，会下载一个msi的安装包，内有10多个可执行程序，只有一个是病毒，其它文件均为正常程序。病毒作者用正常程序运行后的一连串动作来启动病毒。金山毒霸云安全中心监测数据表明，该类病毒的感染量每天超过数万台。

　　图1 样本示例：msi文件(内含10多个文件，只有install.bat是病毒)

　　金山安全专家指出，“这些动作看起来就象推倒多米诺骨牌，正常程序已被众多安全软件加入可信任的白名单。结果就会导致病毒运行时杀毒软件不拦截，用户的浏览器、桌面图标都被改写。

　　图2 金山毒霸工程师解释病毒作者推倒多米诺骨牌的流程

　　金山毒霸安全专家指出，在我们的电脑中，可以被病毒作者用来制作“多米诺骨牌”效应的软件可能非常多，有点防不胜防。这个病毒的利用特点值得安全厂商高度关注，在杀毒软件中简单添加白名单也许并不明智，用户需要反应更敏捷的杀毒软件。

　　这些病毒主要通过一些不常见的工具软件、破解补丁、游戏外挂等软件下载站来传播，当网民搜索一些不常见的软件时，应尽量选择天空、华军这种审核较严的下载站，避免从不知名的网站下载，小网站传播病毒的概率很高。