| | 病毒名稱:敲詐者
英文名稱:win32.hack.snuhay.a
病毒類型:黑客程序
影響係統:win 9x/me/ 2000/nt,win xp,win 2003
它能覆蓋windows的任務管理器,使得任務管理器無法使用,並能刪除用戶的文件。
1:拷貝文件
病毒運行後,會把自己拷貝到以下地方:
c:windowssystem32wins.com
c:documents and settingsall users「開始」菜單程序啓動svchost.com
c:documents and settingsall usersapplication datamicrosoftwin1ogon.exe
c:windowssystem32dllcache askmgr.exe
c:windowssystem32 askmgr.exe
往該文件寫入警告語言並顯示。
c:documents and settingsall users桌面警告.h
其中以下兩處為windows任務管理器的文件,病毒是直接把任務管理器替換成病毒本身,
使用戶無法使用windows任務管理器
c:windowssystem32dllcache askmgr.exe
c:windowssystem32 askmgr.exe
2:修改註册表:
病毒會修改以下註册表值:
hkcusoftwaremicrosoftwindowscurrentversionexploreradvanced
hidden -> 0x02
hkcr xtfileshellopencommand(default)
"c:documents and settingsall usersapplication datamicrosoftwin1ogon.exe"
hkcusoftwaremicrosoftwindowscurrentversionexploreradvanced
hidefileext -> 0x01
hkcusoftwaremicrosoftwindowscurrentversionpoliciesexplorer
nofolderoptions -> 0x01
hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer
noclose -> 0x01
hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer
startmenulogoff -> 0x01
hklmsoftwaremicrosoftwindowscurrentversionpoliciesexplorer
nofind -> 0x01
刪除鍵值
hklmsoftwaremicrosoftwindowscurrentversionexploreradvancedfolderhiddenshowall
使得係統中無法查看隱藏文件,無法關閉與註銷係統,無法打開txt文檔,嚴重影響用戶的工作。
並添加以下兩處註册表值:
hklmsoftwaremicrosoftwindowscurrentversionpoliciessystem
legalnoticecaption -> "警告:"
hklmsoftwaremicrosoftwindowscurrentversionpoliciessystem
legalnoticetext ->" 發現您硬盤內曾使用過盜版了的我公司軟件,所以將您部份文件移到鎖定了的扇區,若要解鎖將文件釋放,請電郵liugongs19670519@yahoo.com.cn購買相應的軟件"
使得windows啓動時會彈出該信息窗口,給用戶造成恐慌。
3:註册服務
病毒會註册一個名為"wins"的服務,並指嚮
c:documents and settingsall usersapplication datamicrosoftwin1ogon.exe
使病毒能隨windows啓動。
4:刪除文件
病毒會刪除以下文件:
c:program files encent*.*
其它分區的所有文件
但不會刪除文件夾,
給用戶造成巨大的損失。 | | - n.: blackmailer, extortioner, moocher, racketeer, squeezer, wringer, flay a flint
| | | 勒索者, 強搶者, 強奪者 | | |
|
|