一、“IRC入侵者”（Backdoor.Win32.IRCBot.bts） 威胁级别：★★★★

    该病毒运行后，衍生病毒文件到%System32%目录下，添加注册表自动运行项以随机引导病毒体。连接网络下载病毒文件并运行；修改hosts表；创建线程用于扫描用户所在网络，若发现存在默认共享或弱口令则传播自身；衍生自删除bat文件在当前路径下，并调用删除自身，bat文件名为随机生成。此病毒为一个利用IRC协议的网络蠕虫，受感染用户可能会被操纵进行Ddos攻击、远程控制、发送垃圾邮件、创建本地Tftp、下载病毒文件等行为。该病毒主要通过网络挂马进行传播，及通过网络感染进行传播。

二、“疯狂下载者变种gkm”（Trojan-Downloader.Win32.Small.gkm） 威胁级别：★★★★★

    该病毒为木马下载者病毒，病毒运行后获取系统文件夹路径，释放驱动文件到%system32%\drivers\目录下，重命名为uuid.sys，等待加载驱动成功后将该驱动文件删除，加载urlmon.dll调用urldownloadtofileaAPI函数，并隐藏创建IExplorer.exe进程写入224字节数据连接网络下载文件，将下载后的文件保存到%Documents and Settings%\当前所在用户\Local Settings\Temp目录下，重命名为：update.exe，并自动运行该病毒文件，衍生病毒DLL文件到%Windir%目录下并重命名为：linkinfo.dll并将其注入到Explorer.exe进程中，创建BAT文件删除自身，生成驱动文件%SystemRoot%\system32\drivers\ IsDrv118.sys(加载后删除)，并调用ZwSetSystemInformation加载驱动，病毒通过检查是否是在VMWare下运行，如果是直接关闭虚拟机，以此来防止自己在虚拟机中被运行，从"%Windir%"目录开始感染所有磁盘中后缀名为"exe"的文件，病毒在感染时，不感染"QQ"、"winnt"和"windows"目录下的程序文件，通过修改卡卡助手的驱动"%system32%\drivers\RsBoot.sys"入口，使该驱动在加载时失败，枚举并尝试向局域网中计算机的隐藏共享文件夹"%s\\IPC$"、"C$"等写入名称为"setup.exe"的病毒源文件，尝试连接时使用"Administrator"作为用户名。

安天反病毒工程师建议