“系统壳”（Win32.Troj.WinShell），木马病毒。该木马病毒感染系统后，会在系统中添加一个服务，并开放端口8719，为系统留下一个危险级别很高的后门，允许未经授权的远程访问，造成系统的泄密或被恶意攻击。以下是该病毒的详情：

病毒名称： Win32.Troj.WinShell

病毒别名：

处理时间：

威胁级别：★★

中文名称：系统壳

病毒类型：木马

影响系统：Win9x/WinMe/Win2000/WinXP/Win2003

病毒行为:

编写工具：

LCC编写，FSG压缩

传染条件:

被动传染

发作条件:

技术特点：　A、添加以下注册表项:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

"CSRSWIN"="<该木马第一次运行的路径>"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices

"CSRSWIN"="<该木马第一次运行的路径>"

B、添加一个服务，该服务的特征为：

"显示名称" = "CSRS Windows NT"

"服务名称" = "CSRSWIN"

"描述" = "CSRS Windows NT"

以上信息均可在注册表项

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN 中找到 C、开放端口8719监听远程命令，成为了一个命令Shell；

D、该病毒允许未经授权的远程访问，造成系统的泄密或被恶意攻击

解决方案：

1)若系统为WinMe或Win2000，先关闭系统还原功能；

2)找到病毒进程，并将其结束；找到病毒文件，将其删除；

3)删除以下注册表信息：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Run"CSRSWIN"="<该木马第一次运行的路径>"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunServices"CSRSWIN"="<该木马第一次运行的路径>"

HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN

发作现象:

特别说明:

该病毒允许未经授权的远程访问。