病毒别名：

处理时间：

威胁级别：★★

中文名称：隐藏后门

病毒类型：木马

影响系统：Win9x / WinNT

病毒行为:

这个一个木马控件，通过别的的程序加载运行。当该病毒被激活之后就释放一个驱动程序并通过服务方式加载，服务名字为“netwall”，该驱动程序是一个很隐藏的木马服务端，打开后门端口等待黑客连接。病毒可以穿透防火墙和外界通信，用户的信息、帐号密码、文件资料都可能悄无声息中被窃取。

1.根据操作系统的语言释放驱动文件。

中文版操作系统：

%system%\\drivers\etwall.sys

英文版操作系统：

%system%\\drivers\etwallEn.sys

然后创建服务“netwall”加载驱动程序，然后删除该文件。

2.创建服务，修改注册表。

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etwall]

"Type"=dword:00000001

"Start"=dword:00000003

"ErrorControl"=dword:00000001

"ImagePath"="\\??\\C:\\WINNT\\system32\\Drivers\etwall.sys"

"DisplayName"="netwall"

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etwall\\Security]

"Security"=<系统相关>

[HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\etwall\\Enum]

"0"="Root\\\\LEGACY_NETWALL\\\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

3.与病毒相关的还包含一个病毒配置程序，用来配置访问中毒机器的密码；一个用来连接中毒机器的控制端。控制端可以通过扫描中毒机器开放的端口来连接到中毒机器，从而控制中毒机器。