Win32.Hack.Delf.388261分析

　　威胁级别: ★★☆☆☆ 病毒类型: 黑客程序 病毒长度: 388261

　　影响系统: Win9x WinMe WinNT Win2000 WinXP Win2003

　　病毒行为:

　　这是一个黑客控制木马。该病毒运行后，会自动添加到系统服务。当随系统开机启动后，创建单独的svchost.exe进程，并将dll模块加载到其中，然后开启远程线程创建后门等待黑客控制被感染机器。

　　1.复制文件：

　　%sys32dir%\sysi.dll

　　2.添加注册表

　　添加以下注册表项，创建系统服务，并设置为开机自启动：

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netcu]

　　ImagePath = "C:\WINDOWS\system32\svchost.exe -k network"

　　[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\netcu\Parameters]

　　ServiceDll = "C:\WINDOWS\system32\sysi.dll"

　　另外还有以下配置信息：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]

　　Info = "yk2812017.3322.org:8000>>上线>远程上线主机>25>0>1080>guest>123456>"

　　Beizhu = "上线"

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]

　　network = "netcu"

　　3.破坏方式

　　该木马运行后，释放dll文件到system32文件夹，并添加到系统服务，随系统开机启动后，创建单独的svchost.exe进程并将dll

　　模块加载到其中，开启远程线程创建后门等待黑客控制被感染机器。