基本介紹
- 中文名:系統殼
- 外文名:Win32.Troj.WinShell
- 威脅級別:2星
- 病毒類型:木馬
- 影響系統:Win9x/Me2000/XP/2003
基本信息,傳播過程,
基本信息
系統殼”(Win32.Troj.WinShell),木馬病毒。該木馬病毒感染系統後,會在系統中添加一個服務,並開放連線埠8719,為系統留下一個危險級別很高的後門,允許未經授權的遠程訪問,造成系統的泄密或被惡意攻擊。以下是該病毒的詳情:
病毒行為:
編寫工具:
LCC編寫,FSG壓縮
傳播過程
技術特點: A、添加以下註冊表項:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"CSRSWIN"="<該木馬第一次運行的路徑>"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
"CSRSWIN"="<該木馬第一次運行的路徑>"
B、添加一個服務,該服務的特徵為:
"顯示名稱" = "CSRS Windows NT"
"服務名稱" = "CSRSWIN"
"描述" = "CSRS Windows NT"
以上信息均可在註冊表項
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN 中找到 C、開放連線埠8719監聽遠程命令,成為了一個命令Shell;
D、該病毒允許未經授權的遠程訪問,造成系統的泄密或被惡意攻擊
解決方案:
1)若系統為WinMe或Win2000,先關閉系統還原功能;
2)找到病毒進程,並將其結束;找到病毒檔案,將其刪除;
3)刪除以下註冊表信息:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run"CSRSWIN"="<該木馬第一次運行的路徑>"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices"CSRSWIN"="<該木馬第一次運行的路徑>"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN
發作現象:
特別說明:
該病毒允許未經授權的遠程訪問。
