TrojanDownloader.ACVE.d“反杀者”变种d是“反杀者”木马下载器家族中的最新成员之一,采用“Microsoft Visual C++ 6.0”编写,并且经过加壳保护处理。“反杀者”变种d运行后,自我复制到被感染计算机系统的“%SystemRoot%\system32\”目录下,并重新命名为“systemIdIe.exe”。修改注册表,实现木马开机自动运行。在被感染计算机系统的“%SystemRoot%\system32\”和“%SystemRoot%\system32\drivers\”目录下分别释放病毒组件文件“Winsp.dll”和“kisawids.sys”。在被感染计算机的后台遍历当前系统中所有进程,一旦发现某些安全软件进程存在便会尝试将其结束。利用进程映像劫持功能,试图屏蔽用户系统中某些安全软件的运行。利用域名映像劫持功能在被感染计算机的后台强行篡改系统中的Hosts文件,屏蔽某些安全站点,阻止用户对这些安全网站的访问,从而达到自我保护的目的。“反杀者”变种d还会在被感染计算机系统的后台连接骇客指定远程服务器站点“http://www.m*d17*.cn/”,获取配置文件“o.jpg”,根据该文件中的设置执行相应的恶意操作。另外,“反杀者”变种d在被感染计算机系统中安装完毕后会将自身的安装程序删除掉,以达到消除痕迹的目的。