词条 | Win32.Troj.WinShell |
释义 | “系统壳”(Win32.Troj.WinShell),木马病毒。该木马病毒感染系统后,会在系统中添加一个服务,并开放端口8719,为系统留下一个危险级别很高的后门,允许未经授权的远程访问,造成系统的泄密或被恶意攻击。以下是该病毒的详情: 病毒名称: Win32.Troj.WinShell 病毒别名: 处理时间: 威胁级别:★★ 中文名称:系统壳 病毒类型:木马 影响系统:Win9x/WinMe/Win2000/WinXP/Win2003 病毒行为: 编写工具: LCC编写,FSG压缩 传染条件: 被动传染 发作条件: 技术特点: A、添加以下注册表项: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun "CSRSWIN"="<该木马第一次运行的路径>" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices "CSRSWIN"="<该木马第一次运行的路径>" B、添加一个服务,该服务的特征为: "显示名称" = "CSRS Windows NT" "服务名称" = "CSRSWIN" "描述" = "CSRS Windows NT" 以上信息均可在注册表项 HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN 中找到 C、开放端口8719监听远程命令,成为了一个命令Shell; D、该病毒允许未经授权的远程访问,造成系统的泄密或被恶意攻击 解决方案: 1)若系统为WinMe或Win2000,先关闭系统还原功能; 2)找到病毒进程,并将其结束;找到病毒文件,将其删除; 3)删除以下注册表信息: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion Run"CSRSWIN"="<该木马第一次运行的路径>" HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServices"CSRSWIN"="<该木马第一次运行的路径>" HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN 发作现象: 特别说明: 该病毒允许未经授权的远程访问。 |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。