| 词条 | Trojan.Win32.Autoit.ab |
| 释义 | 该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该变种替换“任务管理器”文件,删除系统配置文件(msconfig.exe),隐藏“查找”、“关机”、“运行”,等项。该病毒主要行为为删除用户扩展分区的所有文件,并向用户进行勒索。 病毒标签病毒名称: Trojan.Win32.Autoit.ab 中文名称: 敲诈者变种 病毒类型: 木马 文件 MD5: 65A73CDF15F4507D0AB2FE7C54B0559B 公开范围: 完全公开 危害等级: 5 文件长度: 401,759 字节 感染系统: windows2000以上版本 加壳类型第一层壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus &Laszlo 第二层壳:nSPack 3.1 -> North Star/Liu Xing Ping 病毒描述表现形式为用户登陆前弹出文本勒索用户,进入系统后弹出对话框,恐吓用户,如果用户点击“确定”,则重启电脑。病毒还会在系统目录下留下多个病毒文件。给用户带来极大不便,行为极其恶劣。 行为分析1、衍生下列副本与文件: %WinDir%\\_default %System32%\\wpa.dbl %System32%\\wins %System32%\\taskmgr.exe 393KB %documents and settings\\all users\\「开始」菜单\\程序\\启动\\svchost %Documents and Settings%\\All Users\\Application Data\\Microsoft\\ win1ogon.exe 2、修改注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\Applications\\win1ogon.exe\\shell\\ open\\command\\@ Value: String: "%Documents and Settings%\\All Users\\Application Data\\ Microsoft\\win1ogon.exe" Old: String: ""%1" %*" HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command\\@ New:String:"C:\\DocumentsandSettings\\AllUsers\\Application Data\\Microsoft\\win1ogon.exe" Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes %SystemRoot%\\system32\OTEPAD.EXE %1. Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ system\\legalnoticecaption New: String: "警告:" Old:(valuenotset) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ system\\legalnoticetext New: String: " 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件 购买相应的软件" Old: String: "" 3、新建注册表键值: HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WINS \\Description Value: String: "WINS为客户提供系统域名解析服务" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WINS \\DisplayName Value: String: "WINS " HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WINS \\ImagePath Value: String: "%windows%\\system32\\wins" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\\ svchost.exe Value: String: "%Documents and Settings%\\All Users\\Application Data \\Microsoft\\win1ogon.exe" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ Explorer\oClose Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ Explorer\oFind Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ Explorer\oRun Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\ Explorer\\StartMenuLogOff Value: DWORD: 1 (0x1) 4、删除注册表键值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer \\Advanced\\Folder\\Hidden\\SHOWALL\\CheckedValue Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\DefaultValue Value: DWORD: 2 (0x2) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\HelpID Value: String: "shell.hlp#51105" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\HKeyRoot Value: DWORD: 2147483649 (0x80000001) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\RegPath Value: String: "Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\Text Value: String: "@shell32.dll,-30500" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\Type Value: String: "radio" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ Advanced\\Folder\\Hidden\\SHOWALL\\ValueName Value: String: "Hidden" 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。 Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的 安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 清除方案 1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 用户进入%system32%目录下,找到cmd.exe文件,双击运行。 输入regedit.回车运行。 (2) 删除下列注册表项: HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ShellNoRoam\\ MUICache\\ svchost Value: String: "%Documents and Settings\\All Users\\「开始」 菜单\\程序\\启动\\svchost" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\ CurrentVersion\\Run\\svchost.exe Value: String: "%\\Documents and Settings%\\All Users\\ Application Data\\Microsoft\\win1ogon.exe" HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\WINS HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\system\\legalnoticetext New: String: " 发现您硬盘内曾使用过盗版了的我公司软件,所以 将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮 购买相应的软件" HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\Explorer\oClose Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\Explorer\oFind Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\Explorer\oRun Value: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ policies\\Explorer\\StartMenuLogOff Value: DWORD: 1 (0x1) (3) 修改下列注册表项为原值: HKEY_LOCAL_MACHINE\\SOFTWARE\\Classes\\txtfile\\shell\\open\\command\\@ New:String:"C:\\DocumentsandSettings\\AllUsers\\ApplicationData\\ Microsoft\\win1ogon.exe" Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes %SystemRoot%\\system32\OTEPAD.EXE %1. (4) 冷重启电脑到安全模式下。删除下列目录下病毒体: %documents and settings\\all users\\「开始」菜单\\程序\\启动\\svchost (5) 在“运行”中输入gpedit.msc,依次展开: “用户配置”=>“管理模板”=>“Windows组件”=>“Windows资源管理器” 双击“从“工具”菜单中删除“文件夹选项”菜单” 选中“已禁用” (6) 将下列内容保存为.reg文件,双击导入: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\ Explorer\\Advanced\\Folder\\Hidden\\SHOWALL] "RegPath"="Software\\\\Microsoft\\\\Windows\\\\CurrentVersion\\\\ Explorer\\\\Advanced" "Text"="@shell32.dll,-30500" "Type"="radio" "CheckedValue"=dword:00000001 "ValueName"="Hidden" "DefaultValue"=dword:00000002 "HKeyRoot"=dword:80000001 "HelpID"="shell.hlp#51105" (7) 打开“文件夹选项”选至下列状态: (8) 删除病毒衍生文件: %WinDir%\\_default %System32%\\taskmgr.exe 393KB %System32%\\wins %System32%\\wpa.dbl %documents and settings\\all users\\「开始」菜单\\程序\\启\\ svchost %Documents and Settings%\\All Users\\Application\\Data\\Microsoft\\win1ogon.exe (9) 对于已删除文件,用户可采用Easyrecover软件恢复数据,或找专业 数据恢复人士恢复数据。 |
| 随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。