一、“运行者”（Trojan.Win32.Runner.bv） 威胁级别：★★★★

    该病毒是一个下载者木马，并盗取网游密码和个人信息。病毒运行后释放多个动态链接库文件到系统目录下，已达到多个功能的目的，包括间谍木马、盗号木马、盗取魔兽游戏木马、下载者木马等。并在temp目录下创建备份文件，其文件名为随即的7位数字，并在系统目录下释放文件名和系统进程同名的文件System.exe，以此达到隐藏自我的目的；修改注册表加载启动项，添加驱动，连接网络下载病毒文件。

二、“ecard变种”（Trojan-Spy.Win32.Goldun.bce） 威胁级别：★★★★

    该病毒为ecard病毒变种，病毒运行后添加注册表启动项，衍生病毒文件gzipmod.dll、vbagz.sys到%System32%目录下，该病毒调用系统进程rundll32.exe，并将gzipmod.dll、vbagz.sys以句柄的形式注入其中，添加注册表躲避系统自带防火墙，创建病毒注册表服务，病毒运行之后删除自身文件，创造了互斥体防止病毒多次运行，病毒驱动通过 nt!ObReferenceObjectByName 打开磁盘驱动 DriverDisk，并遍历该驱动创建的所有设备对象，该驱动记录这些设备对象的地址用来隐藏病毒衍生的文件，检测路由器支持的路由协议功能、保护该病毒衍生的文件不被查找、发现，连接网络隐藏打开地址，收集有关的电子邮件信息。

安天反病毒工程师建议