病毒别名：Backdoor.Thunk.d[AVP]

处理时间：

威胁级别：★★

中文名称：

病毒类型：黑客程序

影响系统：Win9x / WinNT

病毒行为:

该后门病毒释放一个dll病毒文件，并将该文件注册为Com组件，当启动explorer.exe的时候，就加载该dll文件。Dll文件获得运行之后，它打开后门，后门种植者通过该后门，秘密控制受感染机器；它到指定网址下载程序并运行；它将用户系统信息发送给后门种植者。

1. 释放动态链接库%System%\\child.dll（病毒名：Win32.Hack.Thunk.d.8912）。

2.注册该dll文件为Com组件。当启动explorer.exe的时候，就加载该dll文件。修改的注册表。

添加键值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\SharedTaskScheduler

"OLE Automation Module"=""

添加主键和键值：

HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\

HKEY_CURRENT_USER\\Software\\Classes\\CLSID\\\\InProcServer32

"默认"="%System%\\child.dll"

"ThreadingModel"="Apartment"

HKEY_CLASSES_ROOT\\CLSID\\

HKEY_CLASSES_ROOT\\CLSID\\\\InProcServer32

"默认"="%System%\\child.dll"

"ThreadingModel"="Apartment"

可能添加：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad

"OLE Automation Module"=""

3.病毒child.dll获得运行之后会侦听一个随机端口，等待外界连接；它还到指定网址下载程序并运行。

4.将用户的系统信息发送给后门种植者。