新“飘雪”病毒的解决方案

近段时间毒霸客服段段续续遇到杀毒软件相关程序被删除的用户咨询，这些用户尝试安装杀毒软件时，安装程序均立即被删除，Sreng重命名后运行也会被立即删除。

如此恶劣的病毒究竟做了什么、有什么共性、毒霸以及毒霸用户遇到后的对策是什么呢？本文主要针对这些广大用户关注的疑点作出解释。

病毒做了什么：

根据样本提取的情况看，该病毒将自身线程注入了多个进程并监视杀毒软件窗口以及sreng窗口。发现杀毒软件信息或者SReng作者的信息后便立即通过注入的病毒线程执行删除操作。

病毒共性：

就毒霸客服提取的病毒样本看，中此病毒的用户主机的QQ目录下普遍存在两个隐藏的dll文件，同时添加了自身的API HOOK。修改hosts文件联机下载病毒同时屏蔽杀软域名。

执行删除杀软操作的线程主文件的扩展名通常为非常用扩展名，如：rajsbkt.tcl、jwneriz.fwn、dmzir.hud等。

该主文件写入的随机启动注册表位置如下：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad

解决方案：

由于该病毒删除屏蔽了目前几乎所有主流杀毒软件以及检测工具这一特性，所以大多数一般用户选择了重装系统。金山客服中心对此类病毒一直保持着极高的关注度，目前已经提取到足够数量的病毒样本，并通过毒霸的更新对其免疫与查杀。

下面是一个不会被该病毒删除的检测工具，运行前请去掉.txt扩展名。