§ 概述

病毒别名：Backdoor.DSNX.05.a【AVP】

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

§ 病毒行为:

该病毒将自己复制到系统目录，更名的随机文件名，然后加载到启动项，以达到开机运行的目的。然后它释放一个驱动程序，然后以服务的形式加载，加载后病毒将该驱动程序删除。该驱动程序定时将病毒加载到启动项，确保每次开机病毒都有机会运行。该病毒会打开后门，监听TCP端口113，并向指定IRC服务器发送上线通知，等待黑客发送命令。

1.将自身复制到系统目录%System%下，并取一个随机文件名。然后释放一个驱动程序Cdcd.sys（12977字节），然后以服务的形式加载，加载后病毒将该驱动程序删除。

2.修改注册表。

添加启动项目：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"WinDSNX"="<随机文件名>"

创建服务Cdsys，以此加载驱动程序，这是WinNT系统加载驱动程序的常用方式：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_CDSYS

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_CDSYS\\0000

"Service"="Cdsys"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="Cdsys"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_CDSYS\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="Cdsys"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdsys

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"="\\??\\%System%\\cdcd.sys"

"DisplayName"="Cdsys"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdsys\\Security

"Security"="<系统相关16进制码>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdsys\\Enum

"0"="Root\\\\LEGACY_CDSYS\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

3.开放TCP后门端口：113，连接指定的IRC服务器发送上线通知，等待黑客连接并控制中毒机器。

4.驱动程序定时将病毒加载到启动项，确保每次开机病毒都有机会运行。

• 艾芙居里
• 艾芜(1904～1992)
• 艾芪猪腰汤
• 艾芬品
• 艾芬尼·乌德泽
• 艾茵·兰德
• 菲格罗亚
• 菲比·吉尔曼
• 菲比寻常情歌14首
• 菲比赫
• 菲毕
• 菲氏叶猴
• 菲氏叶猴
• 菲氏麂
• 菲涅尔
• 菲涅尔镜聚光灯
• 菲涅耳公式
• 菲涅耳双面镜
• 菲涅耳环板
• 菲涅耳透镜
• 菲牛蛭
• 菲特克呐
• 菲狄亚斯
• 葛覃
• 葛贤