Win32.Troj.WinShell

编辑:一场网互动百科 时间:2019-12-11 22:21:37
编辑 锁定
本词条缺少名片图,补充相关内容使词条更完整,还能快速升级,赶紧来编辑吧!
“系统壳”(Win32.Troj.WinShell),木马病毒。该木马病毒感染系统后,会在系统中添加一个服务,并开放端口8719,为系统留下一个危险级别很高的后门,允许未经授权的远程访问,造成系统的泄密或被恶意攻击
中文名
系统壳
外文名
Win32.Troj.WinShell
威胁级别
2星
病毒类型
木马
影响系统
Win9x/Me2000/XP/2003

Win32.Troj.WinShell基本信息

编辑
系统壳”(Win32.Troj.WinShell),木马病毒。该木马病毒感染系统后,会在系统中添加一个服务,并开放端口8719,为系统留下一个危险级别很高的后门,允许未经授权的远程访问,造成系统的泄密或被恶意攻击。以下是该病毒的详情:
病毒行为:
编写工具:
LCC编写,FSG压缩

Win32.Troj.WinShell传播过程

编辑
技术特点: A、添加以下注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
"CSRSWIN"="<该木马第一次运行的路径>"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices
"CSRSWIN"="<该木马第一次运行的路径>"
B、添加一个服务,该服务的特征为:
"显示名称" = "CSRS Windows NT"
"服务名称" = "CSRSWIN"
"描述" = "CSRS Windows NT"
以上信息均可在注册表项
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN 中找到  C、开放端口8719监听远程命令,成为了一个命令Shell;
D、该病毒允许未经授权的远程访问,造成系统的泄密或被恶意攻击
解决方案:
1)若系统为WinMe或Win2000,先关闭系统还原功能;
2)找到病毒进程,并将其结束;找到病毒文件,将其删除;
3)删除以下注册表信息:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
Run"CSRSWIN"="<该木马第一次运行的路径>"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
RunServices"CSRSWIN"="<该木马第一次运行的路径>"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCSRSWIN
发作现象:
特别说明:
该病毒允许未经授权的远程访问
词条标签:
计算机学 病毒