Win32.Troj.DarkSky.23

病毒别名：Backdoor.DarkSky.23[AVP] / Backdoor.DK.23[KV]
处理时间：
威胁级别：★★
中文名称：黑暗天空
病毒类型：木马
影响系统：Win9x / WinNT
病毒行为:
这是一个后门病毒，它在打开两处后门，供后门种植者在未经授权的情况下非法访问用户的电脑从而控制用户的电脑。它还修改可执行文件以及文本文件的关联程序，即使开机时候没有病毒运行，当用户打开一个文本文件或者运行一个应用程序的时候，病毒就悄悄的运行了。而且该病毒文件的名字酷似系统文件和记事本文件，从而对用户更具迷惑性。

1.将自己复制为%System32%目录下的:
Notepade.exe
Knrel32.exe
SysArchive.exe 或者 Ntsrvc.exe

2.添加注册表项：
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下添加：
"SysArchive"="SysArchive.exe"
或者
"System Server Manager"="Ntsrvc.exe"

修改：
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command下的
@="%System32%\knrel32.exe "%1" %*"
或者
@="%System32%\notepade.exe "%1" %*"

HKEY_CLASSES_ROOT\.txt\shell\open\command下的
@="%System32%\notepade.exe %1"

HKEY_CLASSES_ROOT\txtfile\shell\open\command\下的
@="%System32%\notepade.exe %1"

3.开放TCP的5418端口和5419端口。