Win32.Troj.Snowdoor35是一款病毒,影响系统:Win9x / WinNT。
武器性能
病毒简介
病毒别名:Backdoor.Snowdoor.35[AVP];Backdoor.Snowdoor.34[RS]
威胁级别:★★
中文名称:风雪35
病毒类型:木马
影响系统:Win9x / WinNT
病毒行为
这是一个通过注入到系统进程而存活的后门病毒。该病毒运行之后,它会把自身复制系统目录,并释放两个内容一样但是文件名字不一样的DLL文件。它会将自己加载到注册表的启动项。然后它会关闭一些常见的反病毒防火墙,再它把释放的其中一个DLL文件注入到系统进程Explorer.exe中,从而达到打开后门以及隐藏自身的目的。攻击者可以远程控制中毒电脑,进行多种危险的操作。
1.复制自身到%System%ipsnow.exe,并释放两个内容一样但是文件名不同的文件:
C:WINDOWSSYSTEM snow.DLL
C:WINDOWSSYSTEMiplog.dll
两个文件的长度都是660480字节。
2.修改注册表:
添加启动项:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
"ipsnow"="%System32%ipsnow.exe"
3.关闭一些常见的反病毒防火墙,如天网防火墙。
4.将iplog.dll注入到系统进程Explorer.exe中,然后打开TCP后门5328或者5326,等待攻击者连接。
附件列表
词条内容仅供参考,如果您需要解决具体问题
(尤其在军事战略、军事时事等领域),建议您咨询相关领域专业人士。
如果您认为本词条还有待完善,请 编辑