TrojanDropper.Agent.pyx“代理木马”变种pyx是“代理木马”木马家族中的最新成员之一,采用“Microsoft Visual C++ 7.0”编写。“代理木马”变种pyx运行后,会自我复制到被感染计算机系统的“%SYSTEMROOT%\system32\”目录下,并重新命名为“compbatc.exe”。同时,还会向系统文件夹中释放病毒文件,并设置这些病毒文件的时间属性为系统创建日期,以此来迷惑用户,防止用户通过文件时间来查找病毒文件。创建“svchost.exe”进程,将自身及病毒文件注入其中运行;之后将病毒自身进程结束,以达到隐蔽自我,防止被用户和安全软件轻易发现、查杀的目的。在被感染计算机中注册名为“compbatc”和“compbatcDrv”的系统服务,以此实现木马在开机后的自启动。在被感染计算机的后台遍历当前系统中的所有进程,一旦发现指定的进程存在,便会以多种方式尝试将其结束;篡改系统Hosts文件,阻止用户升级杀毒软件或访问某些与安全相关的网站,不但降低了用户计算机抵御风险的能力,并且为病毒的进一步破坏做好了铺垫。在被感染计算机的后台秘密下载骇客指定的病毒配置文件“http://www.ush******art.com/kernel/cmd.txt”,并根据配置文件的设置下载恶意程序并调用运行。其中,所下载的恶意程序包括网络游戏盗号木马、远程控制后门或恶意广告程序(流氓软件)等,会给用户造成不同程度的损失。同时,“代理木马”变种pyx还会根据配置文件中的参数,使用多种DDoS手段向指定的目标发起恶意攻击,对互联网的安全环境造成了更大的冲击和破坏。另外,该木马程序还具备自我更新以及向骇客报告用户感染情况的功能。