“Backdoor.Snowdoor”的意思、由来-中文百科全书

简介

发现

2003 年 2 月 20 日

更新

2007 年 2 月 13 日 11:43:39 AM

别名

Backdoor.Blizzard, Backdoor.Fxdoor, Backdoor.Snowdoor [KAV], Backdoor:Win32/Snowdoor.A [RAV

类型

Trojan Horse

感染长度

240K-250K

受感染的系统

Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

防护

* 病毒定义（每周 LiveUpdate™） 2003 年 2 月 20 日

* 病毒定义（智能更新程序） 2003 年 2 月 20 日

威胁评估

广度

* 广度级别： Low

* 感染数量： 0 - 49

* 站点数量： 0 - 2

* 地理位置分布： Low

* 威胁抑制： Easy

* 清除： Moderate

损坏

* 损坏级别： Medium

* 危及安全设置： Allows unauthorized access to an infected computer.

分发

* 分发级别： Low

* 端口： 5328 (by default; other ports are possible)

当 Backdoor.Snowdoor 运行时，它会执刑以下操作：

1. 将本身复制成：

* %System%\\Swon6.exe

* %Windir%\\sk.exe

注意：

o 此处的 %windir% 是变量，木马程序会自行找到 Windows 安装文件夹（默认位置为 C:\\Windows 或 C:\\Winnt) 并将自己复制到其中。

o %System% 代表变量。木马程序会找到 System 文件夹并将自己复制进去。默认位置是 C:\\Windows\\System (Windows 95/98/Me)、C:\\Winnt\\System32 (Windows NT/2000) 或 C:\\Windows\\System32 (Windows XP)。

2. 新增下列值：

Snow %System%\\swon6.exe

加入注册键：

HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

因此，当启动 Windows 时，木马程序都会执行。

3. 在 Windows 95/98/Me 计算机上，将

run= line of the Win.ini

修改为

run=%Windir%\\sk.exe

因此，当启动 Windows 时，木马程序都会执行。

4. 加入一个注册键以建立 C 磁盘共享：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\C$

5. 在 5326 或 5328 埠上监听进来的连接，并允许远端的骇客在您的计算机上活动。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

这些指示适用于目前市面上所见的最新赛门铁克防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 产品系列。

1. 更新病毒定义。

2. 执行完整的系统扫描，删除所有侦测到的 Backdoor.Snowdoor 文件。

3. 撤消对注册表所做的更改。

4. 删除加入到文件 Win.ini 中的内容（仅适用于 Windows 95/98/Me）。

有关每个步骤的详细信息，请阅读以下指导。

1. 更新病毒定义

Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义：

* 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况，这些病毒定义会在 LiveUpdate 服务器上每周发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部“防护”部分的病毒定义 (LiveUpdate) 部分。

* 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义会在美国工作日（周一至周五）发布。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）部分。

智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击这里。

2. 扫描和删除受感染文件

1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。

* Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。

* 赛门铁克企业版防病毒产品：请阅读如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。

2. 运行完整的系统扫描。

3. 如果有任何文件被检测为感染了Backdoor.Snowdoor，请单击“删除”。

3. 撤消蠕虫对注册表所做的更改

警告： Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导请参阅文档：如何备份 Windows 注册表。

1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。）

2. 键入

regedit

然后单击“确认”。（注册表编辑器打开。）

3. 浏览到注册键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

4. 在右窗格中，删除值：Snow

5. 如果找到下列注册键请予以删除：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\C$

6. 退出注册表编辑器。

4. 删除加入到文件 Win.ini 中的内容（仅适用于 Windows 95/98/Me）

如果使用的是 Windows 95/98/Me，请执行下列操作：

1. 操作取决于你的操作系统：

* Windows 95/98：请跳至步骤 b。

* Windows Me：如果你运行 Windows Me， Windows Me 文件保护程序可能已经为 Win.ini 创建了一个备份。如果该备份存在，它会位于 C:\\Windows\\Recent folder. 赛门铁克建议在继续下一部分中的操作之前删除此文件。请执行下列操作：

o 启动 Windows 资源管理器。

o 浏览并选中文件夹C:\\Windows\\Recent。

o 在右窗格中，选中 Win.ini file 后将其删除。Win.ini 会在步骤 f 你保存对其的改动时重新产生。

2. 单击“开始”，然后单击“运行”。

3. 键入以下内容，然后单击“确定”：

edit c:\\windows\\win.ini

（MS-DOS 编辑器打开。）

注意：如果 Windows 安装在其它位置，请用相应的路径代替。

4. 在文件的 [windows] 部分，查找与下列显示相似的项：

run=%Windir%\\sk.exe

5. 如果该行存在，选中文本。确认你没有选择文件中其它内容后，按 Delete。

6. 单击“文件”，然后单击“保存”。

7. 单击“文件”，然后单击“退出”。

描述者： Koji Tabei

词条	Backdoor.Snowdoor
释义	Backdoor.Snowdoor 在受感染的计算机上打开 TCP 5326 或 5328 埠的后门特洛伊木马。该后门特洛伊木马允许攻击者未经允许使用您计算机。 Backdoor.Snowdoor 是以 Delphi 程序语言编写而成并由 UPX 压缩。简介(发现更新别名类型感染长度受感染的系统) 防护建议简介发现 2003 年 2 月 20 日更新 2007 年 2 月 13 日 11:43:39 AM 别名 Backdoor.Blizzard, Backdoor.Fxdoor, Backdoor.Snowdoor [KAV], Backdoor:Win32/Snowdoor.A [RAV 类型 Trojan Horse 感染长度 240K-250K 受感染的系统 Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP 防护 * 病毒定义（每周 LiveUpdate™） 2003 年 2 月 20 日 * 病毒定义（智能更新程序） 2003 年 2 月 20 日威胁评估广度 * 广度级别： Low * 感染数量： 0 - 49 * 站点数量： 0 - 2 * 地理位置分布： Low * 威胁抑制： Easy * 清除： Moderate 损坏 * 损坏级别： Medium * 危及安全设置： Allows unauthorized access to an infected computer. 分发 * 分发级别： Low * 端口： 5328 (by default; other ports are possible) 当 Backdoor.Snowdoor 运行时，它会执刑以下操作： 1. 将本身复制成： * %System%\\Swon6.exe * %Windir%\\sk.exe 注意： o 此处的 %windir% 是变量，木马程序会自行找到 Windows 安装文件夹（默认位置为 C:\\Windows 或 C:\\Winnt) 并将自己复制到其中。 o %System% 代表变量。木马程序会找到 System 文件夹并将自己复制进去。默认位置是 C:\\Windows\\System (Windows 95/98/Me)、C:\\Winnt\\System32 (Windows NT/2000) 或 C:\\Windows\\System32 (Windows XP)。 2. 新增下列值： Snow %System%\\swon6.exe 加入注册键： HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 因此，当启动 Windows 时，木马程序都会执行。 3. 在 Windows 95/98/Me 计算机上，将 run= line of the Win.ini 修改为 run=%Windir%\\sk.exe 因此，当启动 Windows 时，木马程序都会执行。 4. 加入一个注册键以建立 C 磁盘共享： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\C$ 5. 在 5326 或 5328 埠上监听进来的连接，并允许远端的骇客在您的计算机上活动。建议赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”： * 禁用并删除不需要的服务。默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。 * 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。 * 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。 * 强制执行密码策略。复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。 * 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。 * 迅速隔离受感染的计算机，防止其对企业造成进一步危害。执行取证分析并使用可靠的介质恢复计算机。 * 教育员工不要打开意外收到的附件。并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。这些指示适用于目前市面上所见的最新赛门铁克防病毒产品，包括 Symantec AntiVirus 和 Norton AntiVirus 产品系列。 1. 更新病毒定义。 2. 执行完整的系统扫描，删除所有侦测到的 Backdoor.Snowdoor 文件。 3. 撤消对注册表所做的更改。 4. 删除加入到文件 Win.ini 中的内容（仅适用于 Windows 95/98/Me）。有关每个步骤的详细信息，请阅读以下指导。 1. 更新病毒定义 Symantec 安全响应中心在我们的服务器上发布任何病毒定义之前，会对其进行全面测试以保证质量。可以通过两种方式获得最新的病毒定义： * 运行 LiveUpdate，这是获得病毒定义最简便的方法。如果未出现重大的病毒爆发情况，这些病毒定义会在 LiveUpdate 服务器上每周发布一次（一般为星期三）。要确定是否可以通过 LiveUpdate 获得解决该威胁的病毒定义，请见本说明顶部“防护”部分的病毒定义 (LiveUpdate) 部分。 * 使用“智能更新程序”下载病毒定义。 “智能更新程序”病毒定义会在美国工作日（周一至周五）发布。您应当从 Symantec 安全响应中心网站下载定义并手动安装它们。要确定是否可以通过“智能更新程序”获得解决该威胁的病毒定义，请见本说明顶部的病毒定义（智能更新程序）部分。智能更新程序病毒定义可从这里获得。若要了解如何从赛门铁克安全响应中心下载和安装智能更新程序病毒定义，请单击这里。 2. 扫描和删除受感染文件 1. 启动 Symantec 防病毒程序，并确保已将其配置为扫描所有文件。 * Norton AntiVirus 单机版产品：请阅读文档：如何配置 Norton AntiVirus 以扫描所有文件。 * 赛门铁克企业版防病毒产品：请阅读如何确定 Symantec 企业版防病毒产品被设置为扫描所有文件。 2. 运行完整的系统扫描。 3. 如果有任何文件被检测为感染了Backdoor.Snowdoor，请单击“删除”。 3. 撤消蠕虫对注册表所做的更改警告： Symantec 强烈建议在更改注册表之前先进行备份。错误地更改注册表可能导致数据永久丢失或文件损坏。应只修改指定的键。有关指导请参阅文档：如何备份 Windows 注册表。 1. 单击“开始”，然后单击“运行”。（将出现“运行”对话框。） 2. 键入 regedit 然后单击“确认”。（注册表编辑器打开。） 3. 浏览到注册键： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 4. 在右窗格中，删除值：Snow 5. 如果找到下列注册键请予以删除： HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\C$ 6. 退出注册表编辑器。 4. 删除加入到文件 Win.ini 中的内容（仅适用于 Windows 95/98/Me）如果使用的是 Windows 95/98/Me，请执行下列操作： 1. 操作取决于你的操作系统： * Windows 95/98：请跳至步骤 b。 * Windows Me：如果你运行 Windows Me， Windows Me 文件保护程序可能已经为 Win.ini 创建了一个备份。如果该备份存在，它会位于 C:\\Windows\\Recent folder. 赛门铁克建议在继续下一部分中的操作之前删除此文件。请执行下列操作： o 启动 Windows 资源管理器。 o 浏览并选中文件夹C:\\Windows\\Recent。 o 在右窗格中，选中 Win.ini file 后将其删除。Win.ini 会在步骤 f 你保存对其的改动时重新产生。 2. 单击“开始”，然后单击“运行”。 3. 键入以下内容，然后单击“确定”： edit c:\\windows\\win.ini （MS-DOS 编辑器打开。）注意：如果 Windows 安装在其它位置，请用相应的路径代替。 4. 在文件的 [windows] 部分，查找与下列显示相似的项： run=%Windir%\\sk.exe 5. 如果该行存在，选中文本。确认你没有选择文件中其它内容后，按 Delete。 6. 单击“文件”，然后单击“保存”。 7. 单击“文件”，然后单击“退出”。描述者： Koji Tabei
随便看	多彩免烤幕司蛋糕多彩魔法盒多彩牛肉串多彩女人多彩糯米团多彩泡泡消消看多彩瓶多彩扑克网多彩气泡多彩千手螺多彩钱多彩侵略者多彩人生多彩人生心语多彩日本豆腐多彩赏心茶点多彩生活！圆珠笔的随手幸福彩绘多彩十字绣多彩世界小百科：世界各地的孩子多彩手电筒多彩水果冰沙多彩无线多彩无线极光豚多彩仙多彩仙鱼