一、“ecard变种”（Trojan-Spy.Win32.Goldun.bce） 威胁级别：★★★★

    该病毒为ecard病毒变种，病毒运行后添加注册表启动项，衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下，该病毒调用系统进程rundll32.exe，并将gzipmod.dll、vbagz.sys以句柄的形式注入其中，添加注册表躲避系统自带防火墙，创建病毒注册表服务，病毒运行之后删除自身文件，创造了互斥体防止病毒多次运行，病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，连接网络隐藏打开地址，收集有关的电子邮件信息。

二、“U盘寄生虫”（Worm.Win32.AutoRun.bem） 威胁级别：★★★★★

    该病毒为蠕虫类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。添加映像劫持项，劫持众多计算机安全相关软件。感染非系统盘符下的大部分exe文件，感染方式是在文件尾部加一个.ani节，将病毒信息写入其中，入口点改为病毒运行入口点等。连接网络下载病毒文件并回传收集到的计算机MAC、系统版本等信息。

安天反病毒工程师建议