病毒别名： 处理时间：2007-03-27 威胁级别：★

中文名称： 病毒类型：黑客程序 影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个黑客后门病毒，病毒会连接指定的IRC频道，接受黑客命令。该病毒通过MSN传播。

1、在如下路径创建病毒自身的zip压缩文件：

%Windows%\\photo album.zip

在如下路径生成病毒文件：

%system%\\rdshost.dll

2、修改注册表，添加如下键值：

HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\ShellServiceObjectDelayLoad

rdshost="{E3D44709-5E78-462A-98AF-370D9A8F8D91}"

HKCR\\CLSID\\{E3D44709-5E78-462A-98AF-370D9A8F8D91}\\InProcServer32

(Default)="rdshost.dll"

3、遍历系统进程，寻找explorer.exe进程，找到后注入病毒代码加载rdshost.dll病毒文件。

4、rdshost.dll创建病毒线程，连接如下IRC服务器，接受黑客命令：

darkjester.xplosionirc.net

5、通过MSN传播,发送以下内容迷惑用户：

HEY lol i've done a new photo album !:) Second ill find file and send you it.

Hey wanna see my new photo album?

Hey accept my photo album, Nice new pics of me and my friends and stuff and when i was young lol...

Hey just finished new photo album! :) might be a few nudes ;) lol...

hey you got a photo album? anyways heres my new photo album :) accept k?

hey man accept my new photo album.. :( made it for yah, been doing picture story of my life lol..