金山毒霸从2006年11月14日全力推出系统清理专家以来，在全国范围内迅速追杀流氓软件，其中一批名为“飘雪”的流氓团伙竟采用了一些恶性病毒应用的技术手段躲避围剿。其团伙成员作案手法极其相似：强行修改并锁定用户主页，致使用户根本无法修改。受害用户之多，行凶手段之卑劣，令人发指。

　　金山毒霸“反流氓”特别小组已经受理了3000宗左右“飘雪”案例。据不完全统计：目前国内受飘雪感染的用户已达百万。

　　流氓团伙“飘雪”档案

　　代号：飘雪

　　类别：流氓软件

　　传播方式：软件捆绑或网页传播

　　特征：飘雪系列流氓软件是具有病毒行为的新型流氓软件，主要危害是锁定用户ie浏览器的主页，并且无法修改；使用Rootkits驱动保护技术，使得用户难以清除。

　　团伙主要成员：3448、河南4199、7939、my123等

　　“飘雪”团伙主要成员危害行为

　　一号成员“3448”危害行为描述：

　　1．强行更改IE的主页为ＨＴＴＰ：//ＷＷＷ.３４４*.ＣＯＭ

　　2．如发现窗口标题栏包含3448、7939等字符，将强行关闭计算机

　　3．利用HOOK技术，隐藏病毒添加的注册表项目

　　二号成员“my123”危害行为描述：

　　1．强行修改用户IE主页为ＷＷＷ.ＭＹ１２３.ＣＯＭ，并不能轻易修改

　　2．使用Rootkits驱动保护，使用户无法彻底清除

　　3．升级速度快，变种频繁

　　三号成员“7939”危害行为描述：

　　1．强行修改用户IE主页为ＷＷＷ.７９３９.ＣＯＭ，并不能轻易修改

　　2．使用Rootkits驱动保护，使用户无法彻底清除

　　3．传播速度快，升级频繁，逃避追杀

　　其他成员危害行为：

　　123wa

　　1．创建桌面文件１２３ＷＡ.ＣＯＭ中国娱乐导航.ＵＲＬ

　　2．修改IE首页为ＨＴＴＰ：//ＷＷＷ.１２３ＷＡ.ＣＯＭ/ＩＮＤＥＸ５.ＨＴＭ

　　3．在IE收藏夹添加一个栏目：１２３ＷＡ.ＣＯＭ中国娱乐导航

　　4．将快速启动栏中的IE去掉，添加一个栏目，并显示为IE图标

　　5．在IE工具条上添加一个显示为123wa图标的按钮

　　6．将ＨＴＴＰ：//ＷＷＷ.１２３ＷＡ.ＣＯＭ/ＩＮＤＥＸ２.ＨＴＭ添加到IE历史浏览记录中

　　piaoxue

　　1．强行修改用户IE主页为ＷＷＷ.ＰＩＡＯＸＵＥ.ＣＯＭ并不能轻易修改

　　2．使用Rootkits驱动保护，使用户无法彻底清除

　　3．传播速度快，升级频繁，逃避追杀

　　专家建议

　　不要随意登陆一些不知名的小网站，以免感染病毒或流氓软件；

　　通过网络下载文件时，提前打开防火墙；

　　安装正版杀毒软件，开启实时监控。

　　清除方法

　　金山毒霸系统清理专家采用了先进的数据流杀毒及抗Rootkit技术，可以彻底清除“飘雪”系列流氓软件：

　　免费下载并安装金山毒霸系统清理专家；

　　开启自动升级功能选项，升级到最新版本；

　　点击隐蔽软件扫描功能，进行查杀。

　　数据流杀毒：基于传统的静态磁盘文件和狭义匹配技术，更进一步从网络和数据流入手，极大地提高了查杀木马及其变种的能力。

　　Rootkit是攻击者用来隐藏自己的踪迹和保留root访问权限的工具。Rootkit有两种模式，一种是应用程序级，一种是驱动程序级，目的都是为了隐藏文件、注册表、进程等可能暴露自己的信息。

　　附：飘雪系列流氓软件分析报告

　　1．生成文件

　　生成随机名的驱动程序，有的变种会在system32目录下生成随机文件名的dll程序。

　　2．添加注册表启动项

　　生成随机名的服务项，

　　有的会添加HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows Current VersionRun下随机名启动项。

　　3．驱动模块不停写注册表HKEY_CURRENT_USER Software Microsoft InternetExplorer MainStartPage项，使得主页不能被修改。

　　4．自我保护

　　驱动模块不停写注册表HKEY_LOCAL_MACHINE SYSTEM CurrentControl SetServices下驱动文件的启动项；保护驱动文件不能被删除。

　　5．更改ie浏览器主页

　　ｗｗｗ.３４４８.ｃｏｍ

　　ｗｗｗ.２６５.ｃｏｍ

　　ｗｗｗ.ｍｙ１２３.ｃｏｍ

　　ｗｗｗ.ｆｅｉｘｕｅ.ｎｅｔ

　　ｗｗｗ.ｐｉａｏｘｕｅ.ｃｏｍ

　　ａｂｏｕｔ-ｂｌａｎｋ.ｃｃ