九月的雪

九月的雪-Jiu Yue De Xue

編輯作者:山野村夫

九月的雪 snown.exe-網路病毒

概況

九月的雪--網路病毒,以下簡稱:病毒。
該網路病毒運行後,螢幕會被整個的黑屏代替,隨後出現片片雪花下落,同時出.現一首詩“九月的雪”。這時滑鼠不能進行任何操作,在進程中會有snownClean.exe和netdde .exe進程,重啟計算機後此病毒會在開機後自動運行。

病毒現象

此病毒會創建以下檔案(下列檔案均帶有隱藏屬性)
C:\WINDOWS\system32\netdde .exe(注意正常的系統檔案叫netdde.exe,病毒檔案在末尾多了一個空格)
C:\WINDOWS\system32\snownClean.exe
C:\autorun.inf
C:\netdde .exe
C:\snown.exe
其中在c盤根目錄下的檔案同時也會在其它盤符根.目錄下生成,以達到雙擊磁碟重複感染的目的。
並且還會在註冊表中寫入以下鍵值:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETWORKDDE
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetworkDDE

病毒處理方法

重啟計算機進入安全模式,右鍵點擊我的電腦選擇“資源管理器”,然後將隱藏文.件的屬性打開,並選中每個盤符,刪除他們根目錄下的autorun.inf、netdde .exe、snown.exe等檔案,
再刪除C:\WINDOWS\system32\netdde .exe(注意是有空格的檔案)、C:\WINDOWS\system32\snownClean.exe檔案。
如果病毒刪除後盤符已經無法.雙擊打開(雙擊提示選擇打開方式),請按照下面的方法修復:
在開始--運行中輸入“regedit”,打開註冊表找到
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
在此項的下面會有很多子項,在子項下面又會有shell項,選中shell項下面的.子項,在右邊就會看到有連結到病毒的相關鍵值,這時需要將連結到病毒的shell項刪除就可以修復這個問題了,如果不能確定,在刪除前建議先將註冊表導出備份以免刪錯。

病毒分析

snown.exe九月的雪分析

File: snown.exe
Size: 32768 bytes
File Version: 5, 1, 2600, 2178
MD5: DFCF062BC401267EC9A9E16D719B7B2B
SHA1: 67A09D397F6A3F74AECCA41F5AAE28D0743EA3A8
CRC32: 1A62B750 生成如下檔案
C:\WINDOWS\system32\netdde .exe
C:\WINDOWS\system32\snownClean.exe
在每個分區下面
生成autorun.inf netdde .exe和snow.exe 達到隨隨身碟等移動存儲傳播的目的
netdde .exe創建服務NetworkDDE

啟動類型

自動
顯示名稱:System Network DDE
達到開機啟動的目的
snownClean.exe和snow.exe完全

病毒運行過程

開機以後隨著netdde .exe的啟動
創建一個計時器 在120s以後 啟動C:\WINDOWS\system32\snownClean.exe
創建映像劫持項目HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
使其debugger值 指向空
snownclean.exe

病毒運行過程

運行後

會在全螢幕出現以上的那首詩,並伴隨一首midi格式的音樂,病毒出現後:
九月的雪
我一直
在夕陽下路的盡頭,等待......
看繁花開遍 亂紅飛過
不覺間 已是九月到來
要流連過多少過往
徘徊過多少企望
才能覓得你心的方向
何時再不用把你的背影悄悄勾勒
何時在不用把你的笑魘淡淡銘忘
孤照一盞 影幢昏黃
我在明前默默祈禱
讓我的思念化作漫天的雪花
梳上晚霞的紅妝
下的飄飄灑灑 下的紛紛揚揚
下盡天涯海角 下遍你夢的長廊....
落雪因風而繾倦
流水因山石而輾轉
世界因你而絢爛
願朝夕相伴 生世相戀
年年歲歲 歲歲年年
不管天地是否荒老 滄海是否已桑田..
---謹以此獻給心中的 海南女孩
以上內容運行期間鍵盤被鎖住 不能接受用戶回響
並且會通過FindWindowA函式 查找名為“Windows任務管理器”的視窗
並向其傳送WM_CLOSE的指令 關閉任務管理器
強制用戶看完那首詩!
並且snownclean.exe在運行完畢之後 刪除系統資料夾下的netdde .exe檔案。

病毒作者附言

可愛的用戶:
對於這段時間給您帶來的不便非常抱歉..
九月雪的使命已然完成
九月雪沒有盜取密碼,感染破壞等危害
而只是為了測試
相信當前的防毒軟體無法發現九月雪
從今天起,程式將自動徹底卸載
再次向您道歉!
然而,九月雪走了
不代表其他隨身碟病毒不會入侵
因此,請不要貿然雙擊你的可移動盤符
而儘量使用windows的自動播放打開
最後,不管有沒有機會,我想沒人想再見了!!
祝 生活愉快 學業有成

後記

愛意通過病毒傳播,這也許是頭一次遇見,嚴格的說這樣的程式也只能稱作惡作劇病毒,一個失意者想通過病毒這種如今比較“先進”的傳播方式表達自己對於某個女孩的愛戀。但方法也許有些不得當,不過作者在最後提醒我們的“不要貿然雙擊你的可移動盤符”確實需要廣為“傳播”一下 。

相關詞條

相關搜尋

熱門詞條

聯絡我們