TROJAN.SPY.WIN是“落雪”木馬(也叫“遊戲大盜”)的變種,由VB程式語言編寫,通過nSPack3.1加殼處理(即通常所說的“北斗殼”NorthStar),該木馬檔案圖示一般是紅色的圖案,偽裝成網路遊戲的登入器。
病毒運行後,在C糟programfile以及windows目錄下生成winlogon.exe、regedit.com等14個病毒檔案,病毒檔案之多比較少見,,事實上這14個不同檔案名稱的病毒檔案系同一種檔案,“落雪”之名亦可能由此而來。病毒檔案名稱被模擬成正常的系統工具名稱,但是檔案擴展名變成了.com。這是病毒利用了Windows作業系統執行.com檔案的優先權比EXE檔案高的特性,這樣,當用戶調用系統配置檔案Msconfig.exe的時候,一般習慣上輸入Msconfig,而這是執行的並不是微軟的Msconfig.exe程式,而是病毒檔案Msconfig.com,病毒另一狡詐之處還有,病毒還創建一名為winlogon.exe的進程,並把winlogon.exe的路徑指向c:\windows\winlogon.exe,而正常的系統進程路徑是C:\WINDOWS\system32\winlogon.exe,以此達到迷惑用戶的目的。
除了在C糟下生成很多病毒檔案外,病毒還修改註冊表檔案關聯,每當用戶點擊html檔案時,都會運行病毒。此外,病毒還在D糟下生成一個自動運行批處理檔案,這樣即使C糟目錄下的病毒檔案被清除,當用戶打開D糟時,病毒仍然被激活運行。這也是許多用戶反映病毒屢殺不絕的原因。
解決辦法:落雪木馬專殺工具(http://www.52z.com/Soft/10398.html)