Win32.Troj.Snowdoor35

病毒别名：Backdoor.Snowdoor.35[AVP];Backdoor.Snowdoor.34[RS]

威胁级别：★★

中文名称：风雪35

病毒类型：木马

影响系统：Win9x / WinNT

这是一个通过注入到系统进程而存活的后门病毒。该病毒运行之后，它会把自身复制系统目录，并释放两个内容一样但是文件名字不一样的DLL文件。它会将自己加载到注册表的启动项。然后它会关闭一些常见的反病毒防火墙，再它把释放的其中一个DLL文件注入到系统进程Explorer.exe中，从而达到打开后门以及隐藏自身的目的。攻击者可以远程控制中毒电脑，进行多种危险的操作。

1.复制自身到%System%ipsnow.exe，并释放两个内容一样但是文件名不同的文件：

C:WINDOWSSYSTEM snow.DLL

C:WINDOWSSYSTEMiplog.dll

两个文件的长度都是660480字节。

2.修改注册表：

添加启动项：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

"ipsnow"="%System32%ipsnow.exe"

3.关闭一些常见的反病毒防火墙，如天网防火墙。

4.将iplog.dll注入到系统进程Explorer.exe中，然后打开TCP后门5328或者5326，等待攻击者连接。