| | 病毒名称:敲诈者
英文名称:win32.hack.snuhay.a
病毒类型:黑客程序
影响系统:win 9x/me/ 2000/nt,win xp,win 2003
它能覆盖windows的任务管理器,使得任务管理器无法使用,并能删除用户的文件。
1:拷贝文件
病毒运行后,会把自己拷贝到以下地方:
c:windowssystem32wins.com
c:documents and settingsall users「开始」菜单程序启动svchost.com
c:documents and settingsall usersapplication datamicrosoftwin1ogon.exe
c:windowssystem32dllcache askmgr.exe
c:windowssystem32 askmgr.exe
往该文件写入警告语言并显示。
c:documents and settingsall users桌面警告.h
其中以下两处为windows任务管理器的文件,病毒是直接把任务管理器替换成病毒本身,
使用户无法使用windows任务管理器
c:windowssystem32dllcache askmgr.exe
c:windowssystem32 askmgr.exe
2:修改注册表:
病毒会修改以下注册表值:
hkcusoftwaremicrosoftwindowscurrentversionexploreradvanced
hidden -> 0x02
hkcr xtfileshellopencommand(default)
"c:documents and settingsall usersapplication datamicrosoftwin1ogon.exe"
hkcusoftwaremicrosoftwindowscurrentversionexploreradvanced
hidefileext -> 0x01
hkcusoftwaremicrosoftwindowscurrentversionpoliciesexplorer
nofolderoptions -> 0x01
hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer
noclose -> 0x01
hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer
startmenulogoff -> 0x01
hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer
nofind -> 0x01
删除键值
hklmsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall
使得系统中无法查看隐藏文件,无法关闭与注销系统,无法打开txt文档,严重影响用户的工作。
并添加以下两处注册表值:
hklmsoftwaremicrosoftwindowscurrentversionpoliciessystem
legalnoticecaption -> "警告:"
hklmsoftwaremicrosoftwindowscurrentversionpoliciessystem
legalnoticetext ->" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件"
使得windows启动时会弹出该信息窗口,给用户造成恐慌。
3:注册服务
病毒会注册一个名为"wins"的服务,并指向
c:documents and settingsall usersapplication datamicrosoftwin1ogon.exe
使病毒能随windows启动。
4:删除文件
病毒会删除以下文件:
c:program files encent*.*
其它分区的所有文件
但不会删除文件夹,
给用户造成巨大的损失。 | | - n.: blackmailer, extortioner, moocher, racketeer, squeezer, wringer, flay a flint
| | | 勒索者, 强抢者, 强夺者 | | |
|
|