Win32.Troj.Snowdoor35

病毒別名：Backdoor.Snowdoor.35[AVP];Backdoor.Snowdoor.34[RS]

威脅級別：★★

中文名稱：風雪35

病毒類型：木馬

影響系統：Win9x / WinNT

這是一個通過注入到系統進程而存活的後門病毒。該病毒運行之後，它會把自身複製系統目錄，並釋放兩個內容一樣但是檔案名稱字不一樣的DLL檔案。它會將自己載入到註冊表的啟動項。然後它會關閉一些常見的反病毒防火牆，再它把釋放的其中一個DLL檔案注入到系統進程Explorer.exe中，從而達到打開後門以及隱藏自身的目的。攻擊者可以遠程控制中毒電腦，進行多種危險的操作。

1.複製自身到%System%\ipsnow.exe，並釋放兩個內容一樣但是檔案名稱不同的檔案：

C:\WINDOWS\SYSTEM\tsnow.DLL

C:\WINDOWS\SYSTEM\iplog.dll

兩個檔案的長度都是660480位元組。

2.修改註冊表：

添加啟動項：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"ipsnow"="%System32%\ipsnow.exe"

3.關閉一些常見的反病毒防火牆，如天網防火牆。

4.將iplog.dll注入到系統進程Explorer.exe中，然後打開TCP後門5328或者5326，等待攻擊者連線。