Spyware.SnoopStick

更新： 2007 年 2 月 28 日 6:12:29 PM

類型: Spyware

風險影響： Medium

受感染的系統： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

病毒定義（每日 LiveUpdate?） 2007 年 2 月 22 日

病毒定義（每周 LiveUpdate?） 2007 年 2 月 28 日

病毒定義（智慧型更新程式） 2007 年 2 月 22 日

病毒定義（LiveUpdate? Plus） 2007 年 2 月 22 日

Spyware.SnoopStick 可通過 USB 密鑰進行安裝，這時會執行下列檔案：

[USB 驅動器盤符]\setup\SnoopStick.exe

當 USB 密鑰最初插入計算機時，會安裝下列檔案：

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\instance.dat

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\mia.dll

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\SnoopStick.dat

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\SnoopStick.exe

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\SnoopStick.msi

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\SnoopStick.par

C:\Documents and Settings\All Users\Application Data\{67E71F41-70D9-4823-8EC0-78BC232B5E7A}\SnoopStick.res

C:\WINDOWS\Installer\[RANDOM NUMBER].msi

%System%\logs\ClientSSFileUpdater.txt

%System%\logs\CSSSWDDbgLog.txt

%System%\logs\SSDbgLog.txt

%System%\logs\Web070221.log

%System%\mslspcg.exe

%System%\smdnn05.dll

%Windir%\CSSSUpd.exe

%Windir%\CSSSWD.exe

%Windir%\SSCRG.exe

%Windir%\SSDGT.exe

%Windir%\SSLS.exe

%Windir%\SSMsgr.exe

還會創建以下合法檔案：

%UserProfile%\Local Settings\Application Data\Seven Zip\Codecs\7zAes.dll

%UserProfile%\Local Settings\Application Data\Seven Zip\Codecs\Aes.dll

%UserProfile%\Local Settings\Application Data\Seven Zip\Codecs\Branch.dll

%UserProfile%\Local Settings\Application Data\Seven Zip\Codecs\Copy.dll

%UserProfile%\Local Settings\Application Data\Seven Zip\Codecs\LZMA.dll

%UserProfile%\Local Settings\Application Data\Seven Zip\Codecs\Swap.dll

%UserProfile%\Local Settings\Application Data\Seven Zip\Formats\7z.dll

%System%\SpOrder.Dll

%Windir%\sqlite3.dll

然後該風險會創建下列註冊表子項，這些註冊表子項會將該風險的組件註冊為服務：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ChatRecMonSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSLOGSVC

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WS2IFSL

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ChatRecMonSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSLOGSVC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

還會創建下列註冊表子項：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\FA8950F240E56D941A25FD74A4AC2C8A

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2F0598AF-5E04-49D6-A152-DF474ACAC2A8}

這樣該風險就可以監視 Web 瀏覽、即時訊息和電子郵件活動。 其可以記錄下列標題下的信息：

Web 瀏覽：

時間

用戶名

程式

URL

即時訊息對話：

時間

對話

服務

對話文本

電子郵件：

時間

訊息

這樣，隨後就可以通過將 USB 密鑰再插入受感染的計算機收集此信息，或者遠程使用另一台計算機，插入 USB 密鑰的收集信息。

下列說明適用於所有當前和最近的賽門鐵克防病毒產品（包括 Symantec AntiVirus 和 Norton AntiVirus 系列產品）。

禁用系統還原 (Windows Me/XP)。

重新安裝 Symantec 防病毒程式。

更新病毒定義。

運行全面系統掃描。

刪除添加到註冊表的任何值。

有關每個步驟的詳細信息，請參閱下列說明。

(Windows Me/XP)

如果正在運行 Windows Me 或 Windows XP，建議您暫時關閉系統還原功能。 默認情況下啟用此功能，一旦計算機中的檔案被破壞，Windows Me/XP 可使用此功能將其還原。 如果病毒、蠕蟲或特洛伊木馬感染了計算機，則系統還原功能會在該計算機上備份病毒、蠕蟲或特洛伊木馬。

Windows 禁止包括防病毒程式在內的外部程式修改系統還原。 因此，防病毒程式或工具無法清除 System Restore 資料夾中的威脅。 這樣，系統還原就可能將受感染檔案還原到計算機上，即使您已經清除了所有其他位置的受感染檔案。

此外，病毒掃描也可能在 System Restore 資料夾中檢測到威脅，即使您已清除此威脅。

有關如何關閉系統還原功能的說明，請參閱 Windows 文檔或下列文章之一：

如何禁用或啟用 Windows Me 系統還原

如何關閉或打開 Windows XP 系統還原

注意：當您完全完成防毒步驟，並確定威脅已清除後，請按照上述文檔中的說明重新啟用系統還原。

有關其他信息以及禁用 Windows Me 系統還原功能的其他方法，請參閱 Microsoft 知識庫文章：病毒防護工具無法清除 _Restore 資料夾中受感染的檔案（文章編號：263455）。

因為此病毒會試圖刪除賽門鐵克防病毒程式所使用的檔案和註冊表子項，所以可能需要重新安裝該程式。 如果賽門鐵克防病毒程式運行不正常，請卸載，然後重新安裝。

賽門鐵克安全回響中心在我們的伺服器上發布任何病毒定義之前，會對其進行全面測試以保證質量。 可以通過兩種方式獲得最新的病毒定義：

運行 LiveUpdate，這是獲得病毒定義最簡便的方法。

使用智慧型更新程式下載病毒定義：智慧型更新程式病毒定義每天發布一次。 您應當從賽門鐵克安全回響中心網站下載病毒定義並手動安裝它們。 要確定是否可通過智慧型更新程式獲得用於此威脅的定義，請參閱病毒定義（智慧型更新程式）。

最新的智慧型更新程式病毒定義可由此處獲得：智慧型更新程式病毒定義。 有關詳細指導，請參閱文檔：如何使用智慧型更新程式更新病毒定義檔案。

啟動賽門鐵克防病毒程式，並確保已將其配置為掃描所有檔案。

運行全面系統掃描。

如果檢測到任何檔案，請按照防病毒程式所顯示的說明操作。

要點：如果無法啟動賽門鐵克防病毒產品或該產品報告其無法刪除檢測到的檔案，則可能需要停止運行此風險，以便刪除檔案。 要完成此操作，請在安全模式下運行掃描。 有關說明，請參閱文檔：如何以安全模式啟動計算機。 以安全模式重新啟動後，再次運行掃描。

刪除檔案後，以正常模式重新啟動計算機，然後繼續執行下一部分。

計算機重新啟動時可能會顯示警告訊息，因為此時可能尚未完全清除威脅。 可以忽略這些訊息並單擊“確定”。 徹底完成清除操作之後，重新啟動計算機時將不會出現這些訊息。 所顯示訊息可能會如下所示：

標題：[檔案路徑]

訊息正文：Windows 無法找到 [檔案名稱]。 請確保鍵入了正確的名稱，然後重試。 要搜尋檔案，請單擊“開始”按鈕，然後單擊“搜尋”。

要點：賽門鐵克強烈建議在對註冊表進行任何更改之前先進行備份。 錯誤地更改註冊表可能導致數據永久丟失或檔案損壞。 應只修改指定的子項。 有關說明，請參閱文檔：如何備份 Windows 註冊表。

單擊“開始”>“運行”。

鍵入 regedit，

然後單擊“確定”。

注意：如果無法打開註冊表編輯器，則威脅可能已經修改了註冊表以防止進入註冊表編輯器。 安全回響中心已開發出了一種工具以解決此問題。下載並運行此工具，然後繼續防毒。

導航到下列子項並將其刪除：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ChatRecMonSvc

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SSLOGSVC

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WS2IFSL

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ChatRecMonSvc

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSLOGSVC

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WS2IFSL

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\FA8950F240E56D941A25FD74A4AC2C8A

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{2F0598AF-5E04-49D6-A152-DF474ACAC2A8}

退出註冊表編輯器。