后门程序，监听本地8961号端口。

vc写的后门，用upx加了壳。首次运行后将自己拷贝到系统目录，名字为sysctl.exe

修改注册表

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServices

sysctl : sysctl.exe

系统配置文件win.ini

run=％WINDIR％\\sysctrl.exe

并修改注册表项

SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon

userinit :

这一项是系统启动时的运行参数。

这样病毒能够开机自启动。

病毒运行后不断检查网络状况，如正连上互联网则连接到远程主机。

监听本地8961号端口等待远程连接。

启动用户机器上的RASMAN服务，这是一个提供远程管理的服务，以供后门控制端使用