近期，AVG病毒实验室捕获了一种“后门”程序，该木马一旦进入到系统，就会长期驻留，获取用户信息发送到服务端。并且，该木马还会等待服务端指令，执行下载病毒、上传敏感数据等功能。

该“后门”程序利用目前较流行的“借尸”方法(以CREATE_SUSPENDED标志调用CreateProcess创建进程，通过调用ZwUnmapViewOfSection、VirtualAllocEx和ZwWriteVirtualMemory修改目标进程数据，然后调用ZwGetContextThread和ZwSetContextThread修改目标进程线程执行位置，最后调用ZwResumeThread恢复目标进程执行)去创建自己的“僵尸”进程，发挥“后门”的主要功能。

“僵尸”进程启动后，会获取所需API的地址。

并且检查自己的路径是否是windows\\ggdrive32.exe，

如果不是在windows目录下，它会检查系统防火墙，并将ggdrive32.exe添加到系统防火墙授权程序列表中，检查杀软和系统维护工具进程，一旦发现，就会将其结束掉。

如果在windows目录下，它会创建一个线程，然后等待该线程返回。

该线程包含此木马的所有后门功能，包括：接受控制端命令、木马更新，扫描，下载上传数据，收集用户信息等功能，下图列出了该后门的部分命令和功能。

此类木马一旦入侵到您的系统，控制者会在您的系统中来去自如，危害相当严重。

目前，AVG已检测到此类后门程序为BackDoor.Generic15.BFOX，鉴于此木马的危害性严重，AVG提醒广大用户注意及时更新您的安全软件。并且AVG建议没有安装安全软件的用户可以在AVG中国官网上下载AVG中文免费版，对您的电脑以及个人信息进行保护。