更新: 2007 年 2 月 28 日 6:12:29 PM
类型: Spyware
风险影响: Medium
受感染的系统: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP
行为
Spyware.SnoopStick 是一款可从市场上购买的父母控制软件,其可记录 Web 浏览、即时消息对话以及电子邮件信息,然后将这些信息发送到第三方
防护
病毒定义(每日 LiveUpdate™) 2007 年 2 月 22 日
病毒定义(每周 LiveUpdate™) 2007 年 2 月 28 日
病毒定义(智能更新程序) 2007 年 2 月 22 日
病毒定义(LiveUpdate™ Plus) 2007 年 2 月 22 日
Spyware.SnoopStick 可通过 USB 密钥进行安装,这时会执行下列文件:
[USB 驱动器盘符]setupSnoopStick.exe
当 USB 密钥最初插入计算机时,会安装下列文件:
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}instance.dat
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}mia.dll
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}SnoopStick.dat
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}SnoopStick.exe
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}SnoopStick.msi
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}SnoopStick.par
C:Documents and SettingsAll UsersApplication Data{67E71F41-70D9-4823-8EC0-78BC232B5E7A}SnoopStick.res
C:WINDOWSInstaller[RANDOM NUMBER].msi
%System%logsClientSSFileUpdater.txt
%System%logsCSSSWDDbgLog.txt
%System%logsSSDbgLog.txt
%System%logsWeb070221.log
%System%mslspcg.exe
%System%smdnn05.dll
%Windir%CSSSUpd.exe
%Windir%CSSSWD.exe
%Windir%SSCRG.exe
%Windir%SSDGT.exe
%Windir%SSLS.exe
%Windir%SSMsgr.exe
还会创建以下合法文件:
%UserProfile%Local SettingsApplication DataSeven ZipCodecs7zAes.dll
%UserProfile%Local SettingsApplication DataSeven ZipCodecsAes.dll
%UserProfile%Local SettingsApplication DataSeven ZipCodecsBranch.dll
%UserProfile%Local SettingsApplication DataSeven ZipCodecsCopy.dll
%UserProfile%Local SettingsApplication DataSeven ZipCodecsLZMA.dll
%UserProfile%Local SettingsApplication DataSeven ZipCodecsSwap.dll
%UserProfile%Local SettingsApplication DataSeven ZipFormats7z.dll
%System%SpOrder.Dll
%Windir%sqlite3.dll
然后该风险会创建下列注册表子项,这些注册表子项会将该风险的组件注册为服务:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesChatRecMonSvc
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSSLOGSVC
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWS2IFSL
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesChatRecMonSvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSSLOGSVC
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWS2IFSL
还会创建下列注册表子项:
HKEY_LOCAL_MACHINESOFTWAREClassesInstallerProductsFA8950F240E56D941A25FD74A4AC2C8A
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{2F0598AF-5E04-49D6-A152-DF474ACAC2A8}
这样该风险就可以监视 Web 浏览、即时消息和电子邮件活动。 其可以记录下列标题下的信息:
Web 浏览:
时间
用户名
程序
URL
即时消息对话:
时间
对话
服务
对话文本
电子邮件:
时间
消息
这样,随后就可以通过将 USB 密钥再插入受感染的计算机收集此信息,或者远程使用另一台计算机,插入 USB 密钥的收集信息。
下列说明适用于所有当前和最近的赛门铁克防病毒产品(包括 Symantec AntiVirus 和 Norton AntiVirus 系列产品)。
禁用系统还原 (Windows Me/XP)。
重新安装 Symantec 防病毒程序。
更新病毒定义。
运行全面系统扫描。
删除添加到注册表的任何值。
有关每个步骤的详细信息,请参阅下列说明。
1. 禁用系统还原 (Windows Me/XP)
如果正在运行 Windows Me 或 Windows XP,建议您暂时关闭系统还原功能。 默认情况下启用此功能,一旦计算机中的文件被破坏,Windows Me/XP 可使用此功能将其还原。 如果病毒、蠕虫或特洛伊木马感染了计算机,则系统还原功能会在该计算机上备份病毒、蠕虫或特洛伊木马。
Windows 禁止包括防病毒程序在内的外部程序修改系统还原。 因此,防病毒程序或工具无法清除 System Restore 文件夹中的威胁。 这样,系统还原就可能将受感染文件还原到计算机上,即使您已经清除了所有其他位置的受感染文件。
此外,病毒扫描也可能在 System Restore 文件夹中检测到威胁,即使您已清除此威胁。
有关如何关闭系统还原功能的说明,请参阅 Windows 文档或下列文章之一:
如何禁用或启用 Windows Me 系统还原
如何关闭或打开 Windows XP 系统还原
注意:当您完全完成杀毒步骤,并确定威胁已清除后,请按照上述文档中的说明重新启用系统还原。
有关其他信息以及禁用 Windows Me 系统还原功能的其他方法,请参阅 Microsoft 知识库文章:病毒防护工具无法清除 _Restore 文件夹中受感染的文件(文章编号:263455)。
2. 重新安装赛门铁克防病毒程序
因为此病毒会试图删除赛门铁克防病毒程序所使用的文件和注册表子项,所以可能需要重新安装该程序。 如果赛门铁克防病毒程序运行不正常,请卸载,然后重新安装。
3. 更新病毒定义
赛门铁克安全响应中心在我们的服务器上发布任何病毒定义之前,会对其进行全面测试以保证质量。 可以通过两种方式获得最新的病毒定义:
运行 LiveUpdate,这是获得病毒定义最简便的方法。
使用智能更新程序下载病毒定义:智能更新程序病毒定义每天发布一次。 您应当从赛门铁克安全响应中心网站下载病毒定义并手动安装它们。 要确定是否可通过智能更新程序获得用于此威胁的定义,请参阅病毒定义(智能更新程序)。
最新的智能更新程序病毒定义可由此处获得:智能更新程序病毒定义。 有关详细指导,请参阅文档:如何使用智能更新程序更新病毒定义文件。
4. 运行全面系统扫描
启动赛门铁克防病毒程序,并确保已将其配置为扫描所有文件。
运行全面系统扫描。
如果检测到任何文件,请按照防病毒程序所显示的说明操作。
要点:如果无法启动赛门铁克防病毒产品或该产品报告其无法删除检测到的文件,则可能需要停止运行此风险,以便删除文件。 要完成此操作,请在安全模式下运行扫描。 有关说明,请参阅文档:如何以安全模式启动计算机。 以安全模式重新启动后,再次运行扫描。
删除文件后,以正常模式重新启动计算机,然后继续执行下一部分。
计算机重新启动时可能会显示警告消息,因为此时可能尚未完全清除威胁。 可以忽略这些消息并单击“确定”。 彻底完成清除操作之后,重新启动计算机时将不会出现这些消息。 所显示消息可能会如下所示:
标题:[文件路径]
消息正文:Windows 无法找到 [文件名]。 请确保键入了正确的名称,然后重试。 要搜索文件,请单击“开始”按钮,然后单击“搜索”。
5. 从注册表中删除值
要点:赛门铁克强烈建议在对注册表进行任何更改之前先进行备份。 错误地更改注册表可能导致数据永久丢失或文件损坏。 应只修改指定的子项。 有关说明,请参阅文档:如何备份 Windows 注册表。
单击“开始”>“运行”。
键入 regedit,
然后单击“确定”。
注意:如果无法打开注册表编辑器,则威胁可能已经修改了注册表以防止进入注册表编辑器。 安全响应中心已开发出了一种工具以解决此问题。下载并运行此工具,然后继续杀毒。
导航到下列子项并将其删除:
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesChatRecMonSvc
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesSSLOGSVC
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesWS2IFSL
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesChatRecMonSvc
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSSLOGSVC
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWS2IFSL
HKEY_LOCAL_MACHINESOFTWAREClassesInstallerProductsFA8950F240E56D941A25FD74A4AC2C8A
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall{2F0598AF-5E04-49D6-A152-DF474ACAC2A8}
退出注册表编辑器。
