近期,騰訊反病毒實驗室發現,一類向受害用戶索要錢財的敲詐木馬頻繁出現,受害者需向不法分子提供一定數額的贖金,否則無法使用加密硬碟上的資料檔案,甚至會反覆強制置頂勒索提示的彈窗導致電腦無法使用,危害極大。此外,該木馬還會將敲詐信息設定為電腦桌面,影響較之前更為惡劣。
基本介紹
介紹,
介紹
1:拷貝檔案
病毒運行後,會把自己拷貝到以下地方:
C:\windows\system32\wins.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
往該檔案寫入警告語言並顯示。
C:\Documents and Settings\All Users\桌面\警告.h
使用戶無法使用Windows任務管理器
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
2:修改註冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden -> 0x02
HKCR\txtfile\shell\open\command\(Default)
"C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt -> 0x01
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoClose -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
StartMenuLogOff -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFind -> 0x01
刪除鍵值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
並添加以下兩處註冊表值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticecaption -> "警告:"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticetext ->
使得Windows啟動時會彈出該信息視窗,給用戶造成恐慌。
3:註冊服務
病毒會註冊一個名為"WINS"的服務,並指向
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
使病毒能隨Windows啟動。
4:刪除檔案
C:\\Program Files\\Tencent\*.*
其它分區的所有檔案
但不會刪除資料夾,
給用戶造成巨大的損失。
