九月的雪(Malware.Win32.Sepsnow.a)病毒完全解决方案
九月的雪(Malware.Win32.Sepsnow.a)病毒简介
病毒名称
Malware.Win32.Sepsnow.a
捕获时间
2007年9月22日
九月的雪(Malware.Win32.Sepsnow.a)病毒中毒症状
该病毒是一个使用VC编写的恶意程序,长度为32,768 字节,图标中含有粉色的雪花,病毒扩展名为exe,传播途径主要通过可移动存储以自动运行方式传播。
九月的雪(Malware.Win32.Sepsnow.a)病毒分析
该恶意程序被激活后,屏幕上会显示出一首名为《九月的雪》的诗,背景为雪花飘落的动画;在动画没有播放完成期间,通过查找窗口、发送消息的方式关闭“Windows任务管理器”的窗口;使用IFEO映像劫持技术劫持Windows任务管理器的程序;锁定鼠标和屏幕,影响用户操作;破坏用户隐藏文件显示;在后台释放病毒文件NETDDE .exe与SNOWNCLEAN.exe到%SystemRoot%\system32\目录下;
NETDDE .exe激活后遍历驱动器(包含局域网中映射的网络驱动器)释放Autorun.inf文件,拷贝NETDDE .exe文件,拷贝重命名SNOWNCLEAN.exe为snown.exe到每个盘符根目录下,Autorun.inf指向病毒体snown.exe;注册NETDDE .exe服务名称为“NetworkDDE”的系统服务以达到开机自动启动的目的。
九月的雪(Malware.Win32.Sepsnow.a)病毒中毒现象
计算机屏幕出现雪花飘落场景并逐行显示一首名为《九月的雪》的诗;双击盘符的时候同样出现如上现象,出现如上现象的时候前台鼠标无法进行任何操作。此时可以使用Alt+Tab进行切换。
九月的雪(Malware.Win32.Sepsnow.a)病毒服务详细信息:
服务名称:NetworkDDE
服务显示名称:System Network DDE
启动类型:AUTO
服务描述信息:维护网络上计算机这之间的动态数据交换(DDE)消息响应,如果此服务被终止,计算机通信将受到影响。如果此服务被禁用,任何依赖它的服务将无法启动。
Autorun.inf文件内容如下:
[autorun]
OPEN=snown.exe
shell\Auto=打开(&O)
shell\Auto\command=snown.exe
shell\explore=资源管理器(&X)
shell\explore\Command=snown.exe
shellEXEcute=snown.exe
病毒注册表启动项:
SYSTEM\CurrentControlSet\Services\NetworkDDE
指向文件:%SystemRoot%\System32\NETDDE .exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
可移动存储/局域网映射驱动器
Malware.Win32.Sepsnow.a
捕获时间
2007年9月22日
九月的雪(Malware.Win32.Sepsnow.a)病毒中毒症状
该病毒是一个使用VC编写的恶意程序,长度为32,768 字节,图标中含有粉色的雪花,病毒扩展名为exe,传播途径主要通过可移动存储以自动运行方式传播。
九月的雪(Malware.Win32.Sepsnow.a)病毒分析
该恶意程序被激活后,屏幕上会显示出一首名为《九月的雪》的诗,背景为雪花飘落的动画;在动画没有播放完成期间,通过查找窗口、发送消息的方式关闭“Windows任务管理器”的窗口;使用IFEO映像劫持技术劫持Windows任务管理器的程序;锁定鼠标和屏幕,影响用户操作;破坏用户隐藏文件显示;在后台释放病毒文件NETDDE .exe与SNOWNCLEAN.exe到%SystemRoot%\system32\目录下;
NETDDE .exe激活后遍历驱动器(包含局域网中映射的网络驱动器)释放Autorun.inf文件,拷贝NETDDE .exe文件,拷贝重命名SNOWNCLEAN.exe为snown.exe到每个盘符根目录下,Autorun.inf指向病毒体snown.exe;注册NETDDE .exe服务名称为“NetworkDDE”的系统服务以达到开机自动启动的目的。
九月的雪(Malware.Win32.Sepsnow.a)病毒中毒现象
计算机屏幕出现雪花飘落场景并逐行显示一首名为《九月的雪》的诗;双击盘符的时候同样出现如上现象,出现如上现象的时候前台鼠标无法进行任何操作。此时可以使用Alt+Tab进行切换。
九月的雪(Malware.Win32.Sepsnow.a)病毒服务详细信息:
服务名称:NetworkDDE
服务显示名称:System Network DDE
启动类型:AUTO
服务描述信息:维护网络上计算机这之间的动态数据交换(DDE)消息响应,如果此服务被终止,计算机通信将受到影响。如果此服务被禁用,任何依赖它的服务将无法启动。
Autorun.inf文件内容如下:
[autorun]
OPEN=snown.exe
shell\Auto=打开(&O)
shell\Auto\command=snown.exe
shell\explore=资源管理器(&X)
shell\explore\Command=snown.exe
shellEXEcute=snown.exe
病毒注册表启动项:
SYSTEM\CurrentControlSet\Services\NetworkDDE
指向文件:%SystemRoot%\System32\NETDDE .exe
感染对象
Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003
传播途径
可移动存储/局域网映射驱动器
推荐
热点