国家计算机病毒应及处理中心通过对互联网的监测发现一个新的木马程序" 敲诈者"（Trojan_Agent.BQ）。该木马程序以敲诈勒索钱财为目的，使得感染该木马的计算机用户系统中的指定数据文件被恶意隐藏，造成用户数据丢失。截至目前为止，在国内已经出现了因感染该木马程序而导致计算机系统数据文件丢失的情况。

简介

病毒介绍(生成病毒文件 生成文本文件“拯救硬盘.txt” 隐藏文档 终止进程)

简介

敲诈者病毒（Trojan_Agent.BQ）

“敲诈病毒”为一款典型的木马病毒，它嵌入在互联网的一些免费软件中，用户下载运行后就会诱发病毒。

该病毒会在中毒电脑上搜索word、excel、RAR、ZIP等格式的文件，然后把这些文件经过技术处理隐藏起来。再次开机时，就会看到提示：“你的硬盘资料丢失了，你必须使用磁盘修复工具拯救找回丢失的资料文件，但你正在使用的不是正版软件，你必须拯救修复丢失的资料，并且尽快购买正版的软件……”还会弹出对话框，要求用户必须向一个账号汇款82元，才能找回硬盘数据。

该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具，木马也会将其进程终止，以达到保护自己的目的。

病毒名称：敲诈者（Trojan_Agent.BQ）

病毒类型： 木马程序

其它命名：TrojanSpy. Agent.bq（江民）

Win32.Troj.Pluder.A.5473744（金山）

Trojan.Disclies.e（瑞星）

TROJ_PLUDER.A（趋势）

感染系统：Windows 9X/Me/NT/2000/XP

病毒介绍

生成病毒文件

该木马程序运行后，可恶意隐藏计算机用户系统中的文档，同时在系统里出

现可以帮助计算机用户修复丢失掉的数据信息的文本文件“拯救磁盘.txt”，

目的是向受感染的计算机用户索取钱财。

计算机用户一旦受到该木马程序的感染，会在系统目录%System％下生成自

身的拷贝，名称为redplus.exe。（其中，%System%在Windows 95/98/Me 下为

C:\\Windows\\System，在Windows NT/2000下为C:\\Winnt\\System32，在Windows

XP下为 C:\\Windows\\System32）

生成文本文件“拯救硬盘.txt”

木马程序进入受感染计算机用户的系统以后，会在“开始\\所有程序\\启

动”里生成一个文本文件“拯救硬盘.txt”，其内如如下：

当用户按照“拯救磁盘.txt”中描述的步骤，运行redplus.exe后，会显示

隐藏文档

该木马程序一旦被运行以后，会在计算机系统根目录下建立属性为系统、

隐藏和只读的备份文件夹“控制面板”，同时它会搜索计算机系统中所有后缀

名为.xls、.doc、.mdb、.ppt、.wps的文件，找到后把这些文件移动到备份文

件夹中，这样计算机用户的数据文件就被隐藏起来，表面上看起来是系统中上

述文件丢失了，已达到向受感染的计算机用户索取钱财的目的。

终止进程

该木马程序运行时，还会试图终止除几个系统进程之外的所有系统正在运

行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具，木马

也会将其进程终止，以达到保护自己的目的。

手动解决方法：

1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏

受保护的操作系统文件前的√去掉。

2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩，然后启动

WinRAR，切换到该文件夹的上级文件夹，右键单击该文件夹，在弹出菜单

中选择"重命名"。

3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-

08002B30309D}，即可变为普通文件夹了；也可直接进入该文件夹找回丢

失的文件。