九月的雪（Malware.Win32.Sepsnow.a）病毒完全解决方案

水煮鱼 · 发表于 2008-4-14 01:49:35

<DIV class=t_msgfont align=left>九月的雪（Malware.Win32.Sepsnow.a）病毒简介</DIV>
<DIV class=t_msgfont align=left>病毒名称 Malware.Win32.Sepsnow.a 捕获时间 2007年9月22日 九月的雪（Malware.Win32.Sepsnow.a）病毒中毒症状   　　该病毒是一个使用VC编写的恶意程序，长度为32,768 字节，图标中含有粉色的雪花，病毒扩展名为exe，传播途径主要通过可移动存储以自动运行方式传播。 九月的雪（Malware.Win32.Sepsnow.a）病毒分析 　　该恶意程序被激活后，屏幕上会显示出一首名为《九月的雪》的诗，背景为雪花飘落的动画；在动画没有播放完成期间，通过查找窗口、发送消息的方式关闭“Windows任务管理器”的窗口；使用IFEO映像劫持技术劫持Windows任务管理器的程序；锁定鼠标和屏幕，影响用户操作；破坏用户隐藏文件显示；在后台释放病毒文件NETDDE .exe与SNOWNCLEAN.exe到%SystemRoot%\system32\目录下； 　　NETDDE .exe激活后遍历驱动器（包含局域网中映射的网络驱动器）释放Autorun.inf文件，拷贝NETDDE .exe文件，拷贝重命名SNOWNCLEAN.exe为snown.exe到每个盘符根目录下，Autorun.inf指向病毒体snown.exe；注册NETDDE .exe服务名称为“NetworkDDE”的系统服务以达到开机自动启动的目的。 九月的雪（Malware.Win32.Sepsnow.a）病毒中毒现象 　　计算机屏幕出现雪花飘落场景并逐行显示一首名为《九月的雪》的诗；双击盘符的时候同样出现如上现象，出现如上现象的时候前台鼠标无法进行任何操作。此时可以使用Alt+Tab进行切换。 九月的雪（Malware.Win32.Sepsnow.a）病毒服务详细信息： 服务名称：NetworkDDE 服务显示名称：System Network DDE 启动类型：AUTO 服务描述信息：维护网络上计算机这之间的动态数据交换（DDE）消息响应，如果此服务被终止，计算机通信将受到影响。如果此服务被禁用，任何依赖它的服务将无法启动。 Autorun.inf文件内容如下： [autorun] OPEN=snown.exe shell\Auto=打开(&O) shell\Auto\command=snown.exe shell\explore=资源管理器(&X) shell\explore\Command=snown.exe shellEXEcute=snown.exe 病毒注册表启动项： SYSTEM\CurrentControlSet\Services\NetworkDDE 指向文件：%SystemRoot%\System32\NETDDE .exe 感染对象 Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003 传播途径 可移动存储/局域网映射驱动器[1] <a href='http://www.hotbus.cn/it/200709/3493_2.html'>[2]</a> <a href='http://www.hotbus.cn/it/200709/3493_2.html'>下一页</a>

账号		自动登录	找回密码
密码			注册账户

九月的雪（Malware.Win32.Sepsnow.a）病毒完全解决方案

相关帖子

浏览过的版块