安天通过微软合作伙伴计划认证，成为微软金牌认证合作伙伴。得到了微软商业智能、微软网络基础构架解决方案、微软安全解决方案的三项能力认证资质。

安天是国家级网络安全应急服务支撑单位，作为重要的设备级反病毒引擎技术供应商，其拥有一套完备的病毒捕获、分析流水线体系，在网络病毒监控、主机安全保护与评估等领域也拥有一套完整的核心技术和产品系列。安天团队以工程师文化为主导，以“创造就是我们的脚步”为信念，以带给用户“信息安全每一天”为使命，为用户提供全方位的信息安全保护。

微软金牌认证合作伙伴代表微软技术能力和专业技能的最高级别，并享有多种权益，包括有权使

病毒标签

病毒名称： Virus/Win32.Daum.a
病毒类型： 病毒
文件 MD5： 3BE1A003EE66603B222109A0FE502F42
公开范围： 完全公开
危害等级： 4
文件长度： 14,990 字节
感染系统： Windows98以上版本

病毒描述

该文件是被病毒感染后的文件。该病毒为感染式病毒，病毒通过修改导入表的方式使被感染文件在调用某一个动态链接库的时候将首先执行病毒代码，执行完毕后将转到正常调用的函数的代码。病毒的代码将向资源管理器进程中注入远程线程，检测窗口类名称为“TibiaClient”的窗体，读取进程内部的内存数据。

 

行为分析-本地行为

1、文件被感染后的特点
1）修改导入表中导入的第一个动态链接库函数的iat表的地址。
2）在文件尾部添加一个数据节。数据节的长度根据被修改的iat表的项数相关。
3）数据长度为M=N+n(4+5)+4；其中N为固定代

一、“代理木马cufp”（Trojan/Win32.Agent.cufp） 威胁级别：★★★★

    病毒运行后，衍生文件到系统目录下，并删除自身。修改注册表创建一个服务启动项，以达到随机启动的目的。将动态链接库注入到explorer.exe进程，达到隐藏自身躲避防火墙的目的，并收集各种敏感信息。连接网络发送信息，并尝试关闭反病毒软件。

二、“霸族变种ctxp”（Trojan/Win32.Buzus.ctxp[Proxy]） 威胁级别：★★★★

    该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找内存空间地址，并比较，申请内存空间将病毒代码写入到内存空间，在进程中创建线程释放病毒文件到%System32%目录下，修改注册表达到启动病毒的目的，连接网络。

安天反病毒工程师建议

    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升

一、“代理下载者”（Trojan/Win32.Agent.raem[Downloader]） 威胁级别：★★★★

    该病毒属木马类，病毒运行后衍生病毒文件到系统目录下，并删除自身；修改注册表，添加启动项，以达到随机启动的目的；连接网络，下载大量病毒文件到本机运行，该病毒下载的文件可引起DNS欺骗。

二、“偷取者”（Trojan/Win32.OnLineGames.meei[Stealer]） 威胁级别：★★★★

    该病毒为木马类，病毒运行后复制自身到系统目录，衍生病毒文件，并删除自身。修改注册表，添加启动项，以达到随机启动的目的。禁用Windows自动更新与防火墙功能，以降低系统安全性。以ratbqpi.dll插入到天龙八部进程中进行游戏信息获取并回传。

安天反病毒工程师建议

    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样才能真正保障计算机的安全。
&

一、“后门”（Backdoor/Win32.Pincav.kyn） 威胁级别：★★★★

    该恶意代码文件为变种后门类木马，病毒运行后查找RT_RCDATA资源，找到后Load该加密资源（包括IP地址、端口、服务名称等）信息，创建病毒互斥量名为“$OK”，防止病毒多次运行产生的冲突，拷贝自身文件到%System32%目录下，添加注册表病毒服务，开启一个IEXPLORE.EXE进程将病毒代码注入到该进程中连接网络进行通信，被控制的计算机会被控制者完全控制，病毒运行完毕后删除自身原文件。

二、“霸族变种ctmr”（Trojan/Win32.Buzus.ctmr[Proxy]） 威胁级别：★★★★

    该病毒为木马类病毒，该病毒文件对API函数进行了加密处理，病毒运行后解密部分API函数，将自身创建到进程中，读取内存MZP标志，查找内存空间地址，并比较，申请内存空间将病毒代码写入到内存空间，在进程中创建线程释放病毒文件到%System32%目录下，修改注册表使系统文件达到启动病毒的目的，连接网络。

病毒标签

病毒名称： Backdoor/Win32.Pincav.kyn
病毒类型： 后门
文件 MD5： C3DDBBF331EF7299D2E0332F441065C0
公开范围： 完全公开
危害等级： 4
文件长度： 121,856 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0

 

病毒描述

该恶意代码文件为变种后门类木马，病毒运行后查找RT_RCDATA资源，找到后Load该加密资源（包括IP地址、端口、服务名称等）信息，创建病毒互斥量名为“$OK”，防止病毒多次运行产生的冲突，拷贝自身文件到%System32%目录下，添加注册表病毒服务，开启一个IEXPLORE.EXE进程将病毒代码注入到该进程中连接网络进行通信，被控制的计算机会被控制者完全控制，病毒运行完毕后删除自身原文件。

 

行为分析-本地行为

1、文件运行后会释放以下文件
%System32%\DBS.EXE

2、病毒运行后Load资源加密信息，

一、“灰鸽子变种”（Backdoor/Win32.Agent.pv） 威胁级别：★★★★

    该恶意代码文件为灰鸽子变种后门类木马，病毒运行后Load资源加密信息，包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息，判断自身文件名是否为IEXPLORE.EXE名，如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件，如是则退出，如不是则创建互斥量防止病毒多次运行，遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在，如果存在则退出！不存在则拷贝自身到该目录下，并将文件属性设置为隐藏，创建病毒注册表服务以服务方式启动病毒，添加注册表RUN启动项，弹出信息提示框（灰鸽子远程控制服务端安装成功！）的提示信息，衍生批BAT处理文件用于删除病毒源文件，开启一个IEXPLORE.EXE进程连接网络进程通信，被感染的用户电脑将被自动开启socks与HTTP代理，感染的计算机会被作者完全操控。

二、“代理木马”（Trojan/Win32.Agent.ccvv） 威胁级别：★★★★

&

本周第一位：
    Worm/Win32.Runouce.b该恶意文件为蠕虫病毒，该恶意病毒文件进行了加密处理，病毒运行后、暴力搜索kernel32基址，动态获取大量API函数地址，创建互斥量名为“ChineseHacker-2”，防止多次运行产生的冲突，调用API函数隐藏打开病毒本体文件，创建病毒文件“runouce.exe、KillEDLL.DLL”到%system32%目录下，按节分别将病毒代码写入该文件中，试图将病毒DLL注入到所有进程中，并将属性设置为隐藏，添加注册表启动项、创建一个注册表监视的线程，如被删除，则立即重新写入病毒启动项，在系统目录下衍生“readme.eml”文件，该文件为病毒发送的邮件内容，该邮件内容为了躲避安全软件查杀便做了Base64加密处理，解密后得到的数据为PE文件可执行文件（病毒体文件），病毒调用系统自带的Outlook Express发送恶意邮件，病毒通过共享和利用发送恶意邮件来传播自身。

重点关注：
    Backdoor/Win32.Pincav.kyn。该恶意代码文件为变种后门类木马

一、“代理木马”（Trojan/Win32.Agent.bqou） 威胁级别：★★★★

    该病毒为木马类，病毒运行后复制自身到系统目录，并重命名，衍生病毒文件，并删除自身。修改注册表，添加服务项，以达到随机启动的目的。删除注册表中的服务项，修改注册表项以关闭错误报告。主动连接网络，更新病毒文件，下载相关病毒文件信息。该病毒通过恶意网站、其它病毒/木马下载传播，可以盗取用户敏感信息。

二、“控制者”（Backdoor/Win32.PcClient.ahar） 威胁级别：★★★★

    该病毒为后门类，病毒运行后衍生病毒文件到系统目录以及附属目录下；修改注册表创建服务，截取键盘操作信息，记录到系统目录下，连接网络向服务器发送消息，病毒运行完毕后删除自身。

安天反病毒工程师建议

    1.最好安装安天防线防范日益增多的病毒。用户在安装反病毒软件之后，应将病毒监控功能打开、经常进行升级、遇到问题要上报，这样

病毒标签

病毒名称： Backdoor/Win32.Agent.pv
病毒类型： 后门
文件 MD5： EF9CAFD1FF3EAF6E828B034C8044198C
公开范围： 完全公开
危害等级： 4
文件长度： 761,344 字节
感染系统： Windows98以上版本
开发工具： Borland Delphi 6.0 - 7.0

 

病毒描述

    该恶意代码文件为灰鸽子变种后门类木马，病毒运行后Load资源加密信息，包括病毒要衍生的目录、名称、上线IP地址、端口、服务名等信息，判断自身文件名是否为IEXPLORE.EXE名，如果不是则判断自身文件路径是否为%Windir%\Hacker.com.cn.exe路径下的文件，如是则退出，如不是则创建互斥量防止病毒多次运行，遍历%Windir%目录查找Hacker.com.cn.exe文件是否存在，如果存在则退出！不存在则拷贝自身到该目录下，并将文件属性设置为隐藏，创建病毒注册表服务以服务方式启动病毒，添加注册表RUN启动项，弹出信息提示框（灰鸽子远程控制服务端安装成功！）的提示信息，衍生批BAT