安天实验室12月14日病毒预警

一、“灰鸽子变种”（Backdoor/Win32.Agent.pv） 威胁级别：★★★★

    该恶意代码文件为灰鸽子变种后门类木马，病毒运行后Load资源加密信息，包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息，判断自身文件名是否为IEXPLORE.EXE名，如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件，如是则退出，如不是则创建互斥量防止病毒多次运行，遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在，如果存在则退出！不存在则拷贝自身到该目录下，并将文件属性设置为隐藏，创建病毒注册表服务以服务方式启动病毒，添加注册表RUN启动项，弹出信息提示框（灰鸽子远程控制服务端安装成功！）的提示信息，衍生批BAT处理文件用于删除病毒源文件，开启一个IEXPLORE.EXE进程连接网络进程通信，被感染的用户电脑将被自动开启socks与HTTP代理，感染的计算机会被作者完全操控。

二、“代理木马”（Trojan/Win32.Agent.ccvv） 威胁级别：★★★★

    该病毒为木马类，病毒运行后复制自身到系统目录，并重命名，衍生病毒文件，并删除自身。修改注册表，添加服务项，以达到随机启动的目的。删除注册表中的服务项，修改注册表项以关闭错误报告。主动连接网络，更新病毒文件，下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

安天反病毒工程师建议