Backdoor.Win32.Agent.gpo木马是使用VC编写的后门程序，病毒主要作为入侵他人操作系统的后门使用。

Backdoor.Win32.Agent.gpo木马程序被执行后，使用API函数RegOpenKeyExA试图打开服务项“McxSvc..”，如果打开成功则证明该病毒已经感染当前系统，之后执行服务代码并退出，否则执行如下操作：拷贝自身到%SystemRoot%\system32目录下,并重命名为“Slvce3.exe”，修改文件属性为隐藏、系统；遍历进程查找“360tray.exe”将其关闭；调用SCM写注册表项将病毒程序“Slvce3.exe”注册成名为“McxSvc..”的服务，通过使用相关函数启动被注册的服务；服务启动后使用API函数开启多个线程与黑客进行通讯，接受黑客的控制，使被病毒感染主机伦为傀儡主机；

项：HKLM\SYSTEM\CurrentControlSet\Services\McxSvc..\
键值：DisplayName
指向数据：Windows Media Center..

项：HKLM\SYSTEM\CurrentControlSet\Services\McxSvc..\
键值：ImagePath
指向文件：%systemroot%\system32\Slvce3.exe

项：HKLM\SYSTEM\CurrentControlSet\Services\McxSvc..\
键值：Start
指向数据：02

项：HKLM\SYSTEM\CurrentControlSet\Services\McxSvc..\
键值：Description
指向数据：允许 Windows Media Center 扩展器设备查找并连接到计算机..