Win32.Troj.Autorun.389120

这是AUTO病毒。它运行后，会将自己添加到系统启动项，随系统开机启动。启动后，创建单独的线程对系统进行扫描，如发现用户添加新磁盘（比如插入U盘等移动存储设备），就会把自己复制到新磁盘上，扩大传播范围。

1.复制文件：
%sys32dir%\dream.exe
%sys32dir%\plmmsbl.dll
另外在每个磁盘根目录下面均创建以下两个文件：
autorun.inf
sbl.exe

2.添加注册表
添加以下注册表项，开机自启动：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
melove="%sys32dir%\dream.exe"
dream="%sys32dir%\dream.exe"

3.破坏方式
该木马运行后，释放文件到系统文件夹，并添加到启动项，随系统开机启动。启动后，dream.exe进程会创建单独的线程对系统
进行扫描，假如发现用户添加新磁盘（常见的是插入U盘），则在U盘上面创建Autorun，达到利用U盘传播的目的。