这个后门程序会将自己的相关数据添加到系统注册表中，创建服务gu7788gu来加载文件，使自己能够随系统启动。

为了欺骗用户，服务gu7788gu的描述信息是“客户端和服务器之间的 net send 和 alerter 服务消息。此服务与 windows messenger 无关。如果服务停止，alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服务的服务将无法启动”

同时，病毒修改系统注册表，将自身添加到windows防火墙的例外列表中，这样它就可以绕开系统安全模块的封锁，与外部网络自由通讯。

完成以上步骤后，病毒就删除自己的原始文件，防止用户察觉系统中出现多余的东西。并连接远程端口61.1*8.*8.1*4：8001，等待病毒作者（黑客）的控制指令。

毒霸可以清理此毒，习惯手动杀毒的用户则可以在%WINDOWS%\system32\目录下找到病毒文件notepde.exe。

Win32.Hack.Pangu.a.20480
病毒名称(中文):黑客后门程序20480病毒别名:威胁级别:★★☆☆☆病毒类型:木马程序病毒长度:20480影响系统:Win9x WinMe WinNT Win2000 WinXP Win2003
病毒行为:

这是一个黑客后门病毒。它为了隐藏自己，所取的病毒名和服务描述信息都比较象系统正常信息。它会修改系统防火墙的数据，然后连接远程服务器等待黑客指令。

1.释放病毒文件
%system32%notepde.exe

2.创建服务gu7788gu并开启来加载文件，使其随系统启动。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
gu7788gu

ImagePath

hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c
,6e,6f,74,65,70,64,65,2e,65,78,65,00

3.病毒试图在注册表内写入服务信息，为了欺骗用户，服务gu7788gu的描述信息是’客户端和服务器之间的 net send 和 alerter

服务消息。此服务与 windows messenger 无关。如果服务停止，alerter 消息不会被传输。如果服务被禁用，任何直接依赖于此服

务的服务将无法启动。’

4.病毒将自身添加到windows防火墙的例外列表中，修改注册表如下位置
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List
C:\WINDOWS\system32\notepde.exe
“C:\WINDOWS\system32\notepde.exe:*:Enabled:Microsoft (R) Internetal IExplore”

5.病毒连接远程端口61.1*8.*8.1*4：8001等待指令。

6.利用cmd命令删除自身。