病毒别名：

处理时间：

威胁级别：★★

中文名称：恐怖之门

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这是一个用VB编写的后门病毒。它将自己复制到系统的某个目录，伪装成系统的一个诊断程序的图标和文件名，企图迷惑用户。由于编写上的缺陷，在WinNT系统运行出错而终止。在Win9X系统中驻留内存，并通过修改一些自启动相关的文件，从而使病毒能够开机自动运行。该病毒打开后门，使黑客未经授权就可以访问中毒电脑并控制该电脑。黑客可以对被控制电脑进行各种文件操作，启动/停止病毒程序，关闭/重启电脑，通过控制面板修改各种用户设置，向被控制电脑发送消息，盗取密码等等。

1.将字节复制到%system%\\Directx\\DxDiag.exe，并释放Visual Basic的运行库文件MSWINSCK.OCX。

2.在WinNT系统中，由于病毒调用了未被KERNEL32.DLL导出的RegisterServiceProcess函数，导致运行出错而终止。

3.在Win9X系统中修改文件Win.ini

[windows]

load=%system%\\directx\\dxdiag.exe

open=%system%\\directx\\dxdiag.exe

4.修改Autoexec.bat文件，增加以下2行：

@echo off

%system%\\directx\\dxdiag.exe

5.尝试打开下列TCP端口等待黑客连接：

6697，2000, 1218, 1219

6.当黑客连接并控制中毒电脑之后，他可以做如下操作：

1.启动/关闭服务端；

2.各种文件操作；

3.重启、关闭计算机；

4.打开控制面板,改变各种设置；

5.向服务端发送消息；

6.记录键盘消息并发送给控制。

等等。