一、“控制者”（ Backdoor.Win32.Sinowal.aav） 威胁级别：★★★★

    该病毒为后门类病毒，创建互斥量MutexName = "Global\DD8D9E3C36AD47F8937D59F372EFF498"，获取临时文件夹目录%Temp%\ 创建1.tmp、2.tmp到该目录，调用CreateProcessA函数创建该文件进程，加载病毒文件2.tmp到进程中，获取函数地址、序号：ProcNameOrOrdinal = "wep"，完毕后删除2.tmp，利用函数挂钩进程ProcessId = 658，截取消息，并传给HookFunc函数处理，等待3600000.ms退出，创建病毒服务，以服务方式启动病毒，试图连接网络以POST方式发送消息。

二、“U盘寄生虫”（ Worm.Win32.AutoRun.doc） 威胁级别：★★★★

    该病毒为蠕虫类病毒，病毒运行后，判断%HomeDrive%盘下是否存在msdos.bat，如存在则调用函数打开该文件，在%Windir%目录下创建Tasks目录，并查找该目录下的"0x01xx8p.exe"文件将其删除，并传送自身到该文件夹下，休眠5000ms后，遍历进程查找AVP.exe进程，如存在该进程则休眠24000ms后将系统当前时间设置为2004年1月1日，拷贝%System32%目录下的spoolsv.exe到%Windir%\Tasks目录下，重命名为：spoolsv.ext、spoolsv.brk，修改spoolsv.ext资源节rsrc名为WYCao，并写入2600字节病毒数据，修改文件入口点，拷贝%System32%目录下的spoolsv.exe到%System32%\dllcache目录下，删除%System32%目录下的spoolsv.exe文件，传送%Windir%\Tasks目录下的poolsv.ext到%System32%目录下，使系统启动后加载被修改的spoolsv.exe文件，遍历进程查找AVP.exe、kvsrvxp.exe、kissvc.exe，找到存在以上进程则调用API强行结束进程，遍历进程查找explorer1.exe，如找到该进程则申请内存空间向该进程写入978944字节病毒数据，病毒运行后会连接网络下载大量病毒文件。

安天反病毒工程师建议