腾讯反病毒实验室发现,一类向受害用户索要钱财的敲诈木马频繁出现,受害者需向不法分子提供一定数额的赎金,否则无法使用加密硬盘上的资料文件,甚至会反复强制置顶勒索提示的弹窗导致电脑无法使用,危害极大。此外,该木马还会将敲诈信息设置为电脑桌面,影响较之前更为恶劣。
腾讯反病毒实验室发现,一类向受害用户索要钱财的敲诈木马频繁出现,受害者需向不法分子提供一定数额的赎金,否则无法使用加密硬盘上的资料文件,甚至会反复强制置顶勒索提示的弹窗导致电脑无法使用,危害极大。此外,该木马还会将敲诈信息设置为电脑桌面,影响较之前更为恶劣。
介绍
1:拷贝文件
病毒运行后,会把自己拷贝到以下地方:
C:windowssystem32wins.com
C:documents and SettingsAll Users「开始」菜单程序启动svchost.com
C:documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe
C:WINDOWSsystem32dllcachetaskmgr.exe
C:WINDOWSsystem32taskmgr.exe
往该文件写入警告语言并显示。
C:documents and SettingsAll Users桌面警告.h
其中以下两处为Windows任务管理器的文件,病毒是直接把任务管理器替换成病毒本身,
使用户无法使用Windows任务管理器
C:WINDOWSsystem32dllcachetaskmgr.exe
C:WINDOWSsystem32taskmgr.exe
2:修改注册表:
病毒会修改以下注册表值:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Hidden -> 0x02
HKCRtxtfileshellopencommand(Default)
"C:documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe"
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
HideFileExt -> 0x01
HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoFolderOptions -> 0x01
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
NoClose -> 0x01
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
StartMenuLogOff -> 0x01
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
NoFind -> 0x01
删除键值
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
使得系统中无法查看隐藏文件,无法关闭与注销系统,无法打开txt文档,严重影响用户的工作。
并添加以下两处注册表值:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
legalnoticecaption -> "警告:"
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
legalnoticetext ->
使得Windows启动时会弹出该信息窗口,给用户造成恐慌。
3:注册服务
病毒会注册一个名为"WINS"的服务,并指向
C:documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe
使病毒能随Windows启动。
4:删除文件
病毒会删除以下文件:
C:Program FilesTencent*.*
其它分区的所有文件
但不会删除文件夹,
给用户造成巨大的损失。
温馨提示:
