词条 | Trojan.Win32.Pluder.a |
释义 | 该病毒属木马类,病毒盗用windows xp下应用程序“磁盘清理”图标,病毒运行后弹出对话框,要求输入正版序列号,向指定账户汇款等。病毒运行后复制原病毒副本%system%\\redplus.exe,病毒在本地磁盘根目录下新建一个文件夹,其属性为系统、隐藏及只读,用于备份文件。同时搜索本地磁盘上的用户常用格式文档(扩展名为:.xls、doc、mdb、ppt、wps、zip、rar),并把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。 病毒标签病毒名称: Trojan.Win32.Pluder.a 中文名称: 敲诈者 病毒类型: 木马类 文件 MD5: 3021325C84FC224AE10BA814BF9ECE2F 公开范围: 完全公开 危害等级: 中 文件长度: 196,096 字节 感染系统: windows98及以上版本 开发工具: Borland Delphi 6.0 - 7.0 加壳类型: UPX 命名对照: Symentec[无] Mcafee[无] 病毒描述病毒为了达到敲诈的目的,还会新建两个文本文件,同时在“开始菜单\\所有程序\\启动”菜单下建立指向该文本文件的快捷方式。病毒还会尝试结束某些进程,阻止用户清除病毒。 行为分析1、病毒为了达到敲诈的目的,会生成两个文本文件,内容分别为: 1)你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写 2) 你必须使用磁盘修复工具拯救找回丢失的资料文件. 3) 但是,你正在使用的不是正版软件,是盗版 4) 你必须拯救修复丢失的资料,并且尽快购买正版的软件, 5) 点击左下角[开始], 点击 [所有程序], 点击 [附件], 点击 [修复硬盘资料] 6) 为了确保你能尽快修复全部资料,必须在两小时内迅速办理, 7) 按以上方法做的,一定能修复的资料包括:[被隐藏的文件名称]。 网络下载过程中受电磁信号干扰,数据中有错误 不能打开, 请关闭 2、病毒装自身复制到%system%下,并新建病毒文件: %system%\\redplus.exe %tmp%\\Sunhay.txt %All Users%\\「开始」菜单\\程序\\桌面 3、添加注册表启动项,达到随机启动的目的: HKEY_LOCAL_MACHINE\\\\Software\\Microsoft\\Windows \\CurrentVersion\\Explorer\\ 键值:字串:”Shell Folders”=”%Documents and Settings%\\ All Users\\开始\\菜单\\程序\\启动\\startup” HKEY_LOCAL_MACHINE\\\\Software\\Microsoft\\Windows \\CurrentVersion\\Explorer\\ 键值:字串:”Shell Folders”=” C:\\Documents and Settings \\All Users\\「开始」菜单\\程序\\桌面\\desktop” 4、病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(扩展名为:.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。 5、病毒还会结束除以下进程列表外的所有进程: EXPLORER.EXE SYSTRAY.EXE SNMPTRAP.EXE HCOUNT.EXE IRMON.EXE SCARDSVR.EXE MSTASK.EXE SPOOL32.EXE KERNEL32.DLL DDHELP.EXE SMSS.EXE SOUNDMAN.EXE STIMON.EXE STMGR.EXE TASKMON.EXE WMIEXE.EXE WINMGMT.EXE CSRSS.EXE CTFMON.EXE LSASS.EXE SERVICES.EXE SPOOLSV.EXE SVCHOST.EXE NSUM.EXE SYSTEM TLIST.EXE INTERNAT.EXE SYSTEM IDLE PROCESS WINLOGON.EXE WMIPRVSE.EXE CISVC.EXE NSPMON.EXE SFMPRINT.EXE MSIEXEC.EXE UTILMAN.EXE GROVEL.EXE RSFSA.EXE RSENG.EXE RSVP.EXE SMLOGSVC.EXE NETDDE.EXE MNMSRVC.EXE DMADMIN.EXE FAXSVC.EXE MSDTC.EXE CLIPSRV.EXE DFSSVC.EXE LSERVER.EXE LOCATOR.EXE RSSUB.EXE LLSSRV.EXE NTFRS.EXE WINS.EXE UPS.EXE ISMSERV.EXE DNS.EXE TERMSRV.EXE TFTPD.EXE TLNTSVR.EXE INETINFO.EXE REGSVC.EXE TASKMGR.EXE DLLHOST.EXE MDM.EXE RPCSS.EXE SNMP.EXE STISVC.EXE MAPISP32.EXE MMC.EXE SNDVOL32.EXE MSMSGS.EXE NVSVC32.EXE 注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\\Winnt\\System32,windows95/98/me中默认的安装路径是C:\\Windows\\System,windowsXP中默认的安装路径是C:\\Windows\\System32。 -------------------------------------------------------------------------------- 清除方案1、使用安天木马防线可彻底清除此病毒(推荐)。 2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。 (1) 进入安全模式下,结束该病毒进。 (2) 将名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”的文件夹内的文件全部复制出。 (3) 删除原病毒副本、相关文件夹、病毒释放的文本文档及%system%\\redplus.exe (4) 删除注册表以下键值: HKEY_LOCAL_MACHINE\\\\Software\\Microsoft\\Windows \\CurrentVersion\\Explorer\\ 键值:字串:”Shell Folders”=”%Documents and Settings% \\All Users\\开始\\菜单\\程序\\启动\\startup” HKEY_LOCAL_MACHINE\\\\Software\\Microsoft\\Windows \\CurrentVersion\\Explorer\\ 键值:字串:”Shell Folders”=” C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\桌面\\desktop” |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。