Win32.Troj.Winshell.50

處理時間：

威脅級別：★★

影響系統：Win9x / WinNT

病毒行為:

這是一個用黑客軟體生成的後門程式。該後門程式運行之後無任何界面和提示，就把自己註冊為服務程式後台運行，並把自己加入到註冊表的啟動項；它會嘗試下載並運行用戶預先指定的網路檔案；它還會在用戶不知情的情況下打開TCP連線埠8210，攻擊者可以通過他預先設定好的密碼非法登入用戶系統，工具著可以遠程執行如下指令：遠程安裝功能、遠程反安裝功能、檔案下載運行、執行DOS命令、運行程式、查看程式的路徑信息、重新啟動機器、關閉機器等。該程式使用戶的機器對知道密碼的用戶變成了“不設防的城市”，嚴重危及用戶的數據安全。

1.創建服務System32，服務描述為Provide Windows Service。

2.創建註冊表項目：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"System32"="<檔案全路徑>"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

"System32"="<檔案全路徑>"

3.登入密碼：100014。

4.訪問網址：http://（沒有設定）。