§ 概述

病毒别名：Backdoor.DSNX.05.a【AVP】

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

§ 病毒行为:

该病毒将自己复制到系统目录，更名的随机文件名，然后加载到启动项，以达到开机运行的目的。然后它释放一个驱动程序，然后以服务的形式加载，加载后病毒将该驱动程序删除。该驱动程序定时将病毒加载到启动项，确保每次开机病毒都有机会运行。该病毒会打开后门，监听TCP端口113，并向指定IRC服务器发送上线通知，等待黑客发送命令。

1.将自身复制到系统目录%System%下，并取一个随机文件名。然后释放一个驱动程序Cdcd.sys（12977字节），然后以服务的形式加载，加载后病毒将该驱动程序删除。

2.修改注册表。

添加启动项目：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

"WinDSNX"="<随机文件名>"

创建服务Cdsys，以此加载驱动程序，这是WinNT系统加载驱动程序的常用方式：

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_CDSYS

"NextInstance"=dword:00000001

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_CDSYS\\0000

"Service"="Cdsys"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000000

"Class"="LegacyDriver"

"ClassGUID"=""

"DeviceDesc"="Cdsys"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_CDSYS\\0000\\Control

"*NewlyCreated*"=dword:00000000

"ActiveService"="Cdsys"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdsys

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"="\\??\\%System%\\cdcd.sys"

"DisplayName"="Cdsys"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdsys\\Security

"Security"="<系统相关16进制码>"

HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Cdsys\\Enum

"0"="Root\\\\LEGACY_CDSYS\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

3.开放TCP后门端口：113，连接指定的IRC服务器发送上线通知，等待黑客连接并控制中毒机器。

4.驱动程序定时将病毒加载到启动项，确保每次开机病毒都有机会运行。

• 乌迪内斯足球俱乐部
• 乌酶丸
• 乌釉
• 乌里·希克
• 乌里克·劳尔森
• 乌里八糟
• 乌里扬诺夫
• 乌里扬诺夫斯克
• 乌里水电站
• 乌里磨
• 乌里维亚
• 乌里韦
• 乌里韦·奥尔古因
• 乌金七
• 乌金丸
• 乌金塘水库
• 乌金山
• 乌金拓
• 乌金擦牙药
• 乌金散
• 乌金浸酒
• 乌金浸酒方
• 乌金煎丸
• 乌金砚
• 乌金硇砂饼子