一、“灰鸽子”（Backdoor.Win32.Hupigon.afjm） 威胁级别：★★★★

    该病毒为后门类病毒，病毒运行后，复制自身到%Program Files%\Common Files\Microsoft Shared\MSINFO\目录下，重命名为：r47.exe，并将属性设置为隐藏，查找%system32%\drivers目录下是否存在klif.sys文件，开启iexplore.exe进程，加载ntdll.dll，动态获取ZwUnmapViewOfSection函数，利用该函数获取当前进程的基址，申请内存空间，将病毒代码写入iexplore.exe进程中，创建病毒服务，以服务方式启动病毒文件，病毒运行完毕后删除自身,自身克隆到系统进程calc.exe来保护病毒进程，系统利用iexplore.exe连接网络进行通信，等待接收病毒作者发送的控制命令。

二、“偷窃者”（Trojan-PSW.Win32.OnLineGames.aocg） 威胁级别：★★★★

    该病毒下载者木马类，病毒运行后调用API获取系统文件夹路径，在%System32%目录下创建病毒文件ajfcaa.exe（6位随机病毒名），并加载创建该病毒进程，遍历进程查找是否存在以下进程名：GuardField.exe、conime.exe、wuauclt.exe、spoolsv.exe；如发现存在以上进程名则调用TerminateProcess函数强行结束以上进程，调用LoadLibraryA函数加载SFC.DLL文件。将%System32%\drivers\目录下的beep.sys文件删除，并创建一个同名的文件，创建dat文件到临时目录，创建注册表病毒服务，等待加载完毕后将dat文件删除，添加注册表映像劫持，劫持多款安全软件，使系统安全性降低，利用ZwQuerySystemInformation()枚举内核模块，遍历进程查找：DrvAnti.exe（驱动防火墙）、csrss.exe（系统进程），如找到则强行结束以上2个进程，病毒运行后自我删除，连接网络读取列表下载大量恶意文件到本地运行，经分析下载的文件多为盗号木马，给用户清理带来极大的不便！

安天反病毒工程师建议