|
警惕(snownClean.exe,netdde .exe)“九月的雪”病毒以及处理方法 关于“九月的雪”病毒 作者:70号工程师 该病毒运行后,屏幕会被整个的黑屏代替,随后出现片片雪花下落,同时出.现一首诗“九月的雪”。这时鼠标不能进行任何操作,在进程中会有snownClean.exe和netdde .exe进程,重启计算机后此病毒会在开机后自动运行。 现象: 此病毒会创建以下文件(下列文件均带有隐藏属性) C:\WINDOWS\system32\netdde .exe(注意正常的系统文件叫netdde.exe,病毒文件在末尾多了一个空格) C:\WINDOWS\system32\snownClean.exe C:\autorun.inf C:\netdde .exe C:\snown.exe 其中在c盘根目录下的文件同时也会在其它盘符根.目录下生成,以达到双击磁盘重复感染的目的。 并且还会在注册表中写入以下键值: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE 如果计算机感染了此病毒,请按照下面的方法解决: 重启计算机进入安全模式,右键点击我的电脑选择“资源管理器”,然后将隐藏文.件的属性打开,并选中每个盘符,删除他们根目录下的autorun.inf、netdde .exe、snown.exe等文件, 再删除C:\WINDOWS\system32\netdde .exe(注意是有空格的文件)、C:\WINDOWS\system32\snownClean.exe文件。 如果病毒删除后盘符已经无法.双击打开(双击提示选择打开方式),请按照下面的方法修复: 在开始--运行中输入“regedit”,打开注册表找到 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2] 在此项的下面会有很多子项,在子项下面又会有shell项,选中shell项下面的.子项,在右边就会看到有链接到病毒的相关键值,这时需要将链接到病毒的shell项删除就可以修复这个问题了,如果不能确定,在删除前建议先将注册表导出备份以免删错。 snown.exe九月的雪分析作者:清新阳光(转自新剑病毒资讯) File: snown.exe Size: 32768 bytes File Version: 5, 1, 2600, 2178 MD5: DFCF062BC401267EC9A9E16D719B7B2B SHA1: 67A09D397F6A3F74AECCA41F5AAE28D0743EA3A8 CRC32: 1A62B750 生成如下文件 C:\WINDOWS\system32\netdde .exe C:\WINDOWS\system32\snownClean.exe 在每个分区下面 生成autorun.inf netdde .exe和snow.exe 达到随U盘等移动存储传播的目的 netdde .exe创建服务NetworkDDE 启动类型:自动 显示名称:System Network DDE 达到开机启动的目的 snownClean.exe和snow.exe完全相同 病毒运行过程: 开机以后 随着netdde .exe的启动 创建一个计时器 在120s以后 启动C:\WINDOWS\system32\snownClean.exe 创建映像劫持项目HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe 使其debugger值 指向空 snownclean.exe 运行后 会在全屏出现以上的那首诗,并伴随一首midi格式的音乐(挺好听的音乐那) 病毒出现后: 九月的雪 我一直 在夕阳下路的尽头,等待 看繁花开遍 乱红飞过 不觉间 已是九月到来 要流连过多少过往 徘徊过多少企望 才能觅得你心的方向 何时再不用把你的背影悄悄勾勒 何时在不用把你的笑魇淡淡铭忘 孤照一盏 影幢昏黄 我在明前默默祈祷 让我的思念化作漫天的雪花 梳上晚霞的红妆 下的飘飘洒洒 下的纷纷扬扬 下尽天涯海角 下遍你梦的长廊.... 落雪因风而缱倦 流水因山石而辗转 世界因你而绚烂 愿朝夕相伴 生世相恋 年年岁岁 岁岁年年 不管天地是否荒老 沧海是否已桑田.. ---谨以此献给心中的 海南女孩 期间键盘被锁住 不能接受用户响应 并且会通过FindWindowA函数 查找名为“Windows任务管理器”的窗口 并向其发送WM_CLOSE的指令 关闭任务管理器 强制用户看完那首诗! 并且snownclean.exe在运行完毕之后 删除系统文件夹下的netdde .exe文件。 附言:作者在病毒体内留下有如下字样: 表达了作者对于中毒者的歉意并提醒大家注意U盘病毒 可爱的用户: 对于这段时间给您带来的不便非常抱歉.. 九月雪的使命已然完成 九月雪没有盗取密码,感染破坏等危害 而只是为了测试 相信当前的杀毒软件无法发现九月雪 从今天起,程序将自动彻底卸载 再次向您道歉! 然而,九月雪走了 不代表其他U盘病毒不会入侵 因此,请不要贸然双击你的可移动盘符 而尽量使用windows的自动播放打开 最后,不管有没有机会,我想没人想再见了!! 祝 生活愉快 学业有成 爱意通过病毒传播,这也许是头一次遇见,严格的说这样的程序也只能称作恶作剧病毒,一个失意者想通过病毒这种如今比较“先进”的传播方式表达自己对于某个女孩的爱恋。但方法也许有些不得当,不过作者在最后提醒我们的“不要贸然双击你的可移动盘符”确实需要广为“传播”一下! "九月的雪"病毒专杀: http://www.xdphy.cn/kill_snow.rar (电信+教育网) 或 http://stp.xidian.edu.cn/kill_snow.rar (教育网) 以上两个网站均为 西安电子科技大学 技术物理学院官方网站,也是发布 九月的雪专杀 的唯一网站...请大家放心下载... 如果您在别的地方下载的九月的雪专杀工具,请验证软件md5 以防恶意程序... 九月的雪专杀工具 MD5:5b9de3ce62876feb361dead1a887f1e2 |
