» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 病毒快报 » 恶意程序 Malware.Win32.Sepsnow.a   作者: 标题: 恶意程序 Malware.Win32.Sepsnow.a pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  恶意程序 Malware.Win32.Sepsnow.a 病毒名称 Malware.Win32.Sepsnow.a 捕获时间 2007年9月22日 病毒症状   　　该病毒是一个使用VC编写的恶意程序，长度为32,768 字节，图标中含有粉色的雪花，病毒扩展名为exe，传播途径主要通过可移动存储以自动运行方式传播。 病毒分析 　　该恶意程序被激活后，屏幕上会显示出一首名为《九月的雪》的诗，背景为雪花飘落的动画；在动画没有播放完成期间，通过查找窗口、发送消息的方式关闭“Windows任务管理器”的窗口；使用IFEO映像劫持技术劫持Windows任务管理器的程序；锁定鼠标和屏幕，影响用户操作；破坏用户隐藏文件显示；在后台释放病毒文件NETDDE .exe与SNOWNCLEAN.exe到%SystemRoot%\system32\目录下； 　　NETDDE .exe激活后遍历驱动器（包含局域网中映射的网络驱动器）释放Autorun.inf文件，拷贝NETDDE .exe文件，拷贝重命名SNOWNCLEAN.exe为snown.exe到每个盘符根目录下，Autorun.inf指向病毒体snown.exe；注册NETDDE .exe服务名称为“NetworkDDE”的系统服务以达到开机自动启动的目的。 中毒现象 　　计算机屏幕出现雪花飘落场景并逐行显示一首名为《九月的雪》的诗；双击盘符的时候同样出现如上现象，出现如上现象的时候前台鼠标无法进行任何操作。此时可以使用Alt+Tab，Win键进行切换。 --九月的雪-- 我一直 在夕阳下路的尽头 等待 看繁花开遍 乱红飞过 不觉间 已是九月到来 要流连过多少过往 徘徊过多少企望 才能觅得你心的方向   何时再不用把你的背影悄悄勾勒 何时再不用把你的笑魇淡淡铭忘 孤照一盏 影幢昏黄 我在明前默默祈祷: 让我的思念化作漫天的雪花 梳上晚霞的红妆 下的飘飘洒洒 下的纷纷扬扬 下尽天涯海角 下遍你梦的长廊 .... 落雪因风而缱倦 流水因山石而辗转 世界因你而绚烂 愿朝夕相伴 生世相恋 年年岁岁 岁岁年年 不管天地是否荒老 沧海是否已桑田..       ---谨以此献给心中的  海南女孩 病毒服务详细信息： 服务名称：NetworkDDE 服务显示名称：System Network DDE 启动类型：AUTO 服务描述信息：维护网络上计算机这之间的动态数据交换（DDE）消息响应，如果此服务被终止，计算机通信将受到影响。如果此服务被禁用，任何依赖它的服务将无法启动。 Autorun.inf文件内容如下： [autorun] OPEN=snown.exe shell\Auto=打开(&O) shell\Auto\command=snown.exe shell\explore=资源管理器(&X) shell\explore\Command=snown.exe shellEXEcute=snown.exe 病毒注册表启动项： SYSTEM\CurrentControlSet\Services\NetworkDDE 指向文件：%SystemRoot%\System32\NETDDE .exe 感染对象 Windows 98/Windows ME/Windows 2000/Windows XP/Windows 2003 传播途径 可移动存储/局域网映射驱动器 安全提示 　　已安装微点主动防御软件的用户，无论您是否已经升级到最新版本，微点主动防御都能够有效防御该恶意程序。如果您没有将微点主动防御软件升级到最新版，微点主动防御软件在发现该病毒后将报警提示您“发现未知间谍”和“未知木马”，请直接选择删除处理，参见图1图2；                                   图1                                   图2 　　如果您已经将微点主动防御软件升级到最新版本，微点将报警提示您发现“Malware.Win32.Sepsnow.a”，请直接选择删除（如图3）。                                   图3 　　使用其它杀毒软件的用户，请尽快将您的杀毒软件特征库升级到最新版本进行查杀，并开启防火墙拦截网络异常访问，如依然有异常情况请注意及时与专业的安全软件厂商联系获取技术支持。 　　没有安装微点主动防御软件的用户，建议您尽快安装使用微点主动防御软件查杀预防各类新病毒。 [ Last edited by pioneer on 2007-9-24 at 10:14 ] ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-9-23 18:26 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号