|
||||
病毒介紹:
『落雪』顧名思義,就是說中了該木馬後,向系統釋放的病毒文件非常之多。該木馬也叫『游戲大盜』( Trojan/PSW.GamePass,Trojan.PSW.Snow.a,Troj.LMir2.ky),由VB 程序語言編寫,通過 北斗3.1 加殼處理,該木馬文件一般是紅色圖標。
病毒運行後,在C盤program file以及windows目錄下生成winlogon.exe、regedit.com等14個病毒文件,病毒文件之多比較少見,,事實上這14個不同文件名的病毒文件系同一種文件。病毒文件名被模擬成正常的系統工具名稱,但是文件擴展名變成了 .com。江民反病毒工程師分析,這是病毒利用了Windows操作系統執行.com文件的優先級比EXE文件高的特性,這樣,當用戶調用系統配置文件Msconfig.exe的時候,一般習慣上輸入 Msconfig,而這是執行的並不是微軟的Msconfig.exe程序,而是病毒文件 Msconfig.com ,病毒作者的『良苦用心』由此可見。病毒另一狡詐之處還有,病毒還創建一名為winlogon.exe的進程,並把 winlogon.exe 的路徑指向c:\windows\winlogon.exe,而正常的系統進程路徑是C:\WINDOWS\system32\ winlogon.exe,以此達到迷惑用戶的目的。
江民反病毒工程師介紹,除了在C盤下生成很多病毒文件外,病毒還修改注冊表文件關聯,每當用戶點擊html文件時,都會運行病毒。此外,病毒還在D盤下生成一個自動運行批處理文件,這樣即使C盤目錄下的病毒文件被清除,當用戶打開D盤時,病毒仍然被激活運行。
中毒癥狀:
1、系統運行緩慢。
2、右下方任務欄的殺軟和防火牆圖標消失(被無故關閉)但殺軟的右鍵掃描可用。
3、D盤雙擊打不開,D盤裡面有autorun.inf和pagefile.com兩個文件,其中autorun.inf為隱藏屬性。
4、打開任務管理器,可以看到有一個當前用戶所屬的1.EXE在運行,或者是一個當前用戶所屬的一個大寫的WINLOGON.EXE在運行。
5、打開注冊表:在運行程序中運行『regedit』,會看到
(1)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 項裡有一個Torjan pragramme,這是木馬。
(2)、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon下的"Shell"="Explorer.exe"已被改為"Shell"="Explorer.exe 1"。
6、可執行文件.exe打不開(包括殺軟,防火牆)。
7、開機進入系統時會跳出一個警告框,說文件『1』找不到。(由於殺軟查殺後,無法對木馬更改的注冊表項進行修復)。
病毒復活方式:
1、在開始-運行裡運行:msocnfig,command,regedit這些命令,病毒將全部恢復。
2、雙擊病毒所有文件中的任何一個文件,病毒將完全恢復。
3、雙擊D盤。