Win32.Troj.Beast

這是一個後門程式，稱其為惡獸實不為過。該病毒的感染方式和啟動方式不是固定的，它既可以用常規方法通過修改註冊表添加啟動項來載入，還可以把自己注入到“winlogon.exe”，“SYSTRAY.EXE”等系統進程以及“explorer.exe”，“IEXPLORE.EXE”等常用進程，再加上病毒大小，圖示，名稱等信息都是可變的，用戶很難察覺該病毒的存在。它會結束掉一些常見的病毒防火牆，盜取用戶的所有上網信息，遠程控制用戶電腦，任意上傳和下載檔案，偷窺用戶隱私等，嚴重危害用戶的數據安全。

中了此病毒的用戶請創建一個非管理員帳號，然後用此帳號登入系統。由於該病毒無法在非管理員用戶機器上正常運行，從而可以輕鬆殺掉病毒檔案。

1. 在感染計算機上釋放下列檔案：

%WinDir%\dxdgns.dll, 28756位元組，UPX壓縮，解壓以後是64596位元組

2.將自己複製為

%SystemRoot%\msagent\msudsm.com,

%SystemDir%\mswkrr.com, 47237位元組

兩個病毒檔案的副本都是47237位元組，UPX壓縮，解壓以後是61573

2．在註冊表中添加下列啟動項:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

以及

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

"COM Service" = %ystemRoot%\msagent\msudsm.com

這樣，在windows啟動時，病毒就可以自動執行。

3.關閉系統還原，防止用戶通過系統還原清除病毒。

4.該病毒可以截取用戶的所有鍵盤輸入，並可以把用戶在電腦上的所進行的操作進行全盤記錄生成完整的log檔案，給用戶的隱私帶來了很大的危險。

5．該病毒在連線埠8183偵聽，具有遠程監控的功能，黑客連線該連線埠可以監控感染病毒的計算機，在不經任何授權的情況下，非法觀看遠程桌面、遠控滑鼠、鍵盤，以及所有資源/檔案,並可以控制上傳下載。

6．該病毒自動檢測感染計算機是否安裝防火牆一旦發現就強行結束，使其無法檢測到黑客的遠程登入。

7．該病毒以遠程執行緒方式注入到 “winlogon.exe”，“SYSTRAY.EXE”，“explorer.exe”，“IEXPLORE.EXE”， 等系統進程中，具有更隱蔽行，並且注入到“winlogon.exe”中的病毒（dxdgns.dll）監視注入到其他進程中的病毒，一旦發現沒有了該病毒，它又會重新注入，極其頑固、狠毒的病毒，給病毒的查殺帶來了一定困難。

8．該病毒可以按反彈連線埠方式進行反向連線，這樣就可以穿透一般防火牆，滲透到內部網路，這就給許多公司的內部信息帶來了極大的安全隱患。