处理时间：2007-02-08

威胁级别：★

中文名称：敲诈者

病毒类型：木马

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是"敲诈者"病毒的一个新变种，它能覆盖Windows的任务管理器，使得任务管理器无法使用，并能删除用户的文件。

1:拷贝文件

病毒运行后,会把自己拷贝到以下地方:

C:\\windows\\system32\\wins.com

C:\\Documents and Settings\\All Users\\「开始」菜单\\程序\\启动\\svchost.com

C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\win1ogon.exe

C:\\WINDOWS\\system32\\dllcache\\taskmgr.exe

C:\\WINDOWS\\system32\\taskmgr.exe

往该文件写入警告语言并显示。

C:\\Documents and Settings\\All Users\\桌面\\警告.h

其中以下两处为Windows任务管理器的文件，病毒是直接把任务管理器替换成病毒本身，

使用户无法使用Windows任务管理器

C:\\WINDOWS\\system32\\dllcache\\taskmgr.exe

C:\\WINDOWS\\system32\\taskmgr.exe

2:修改注册表:

病毒会修改以下注册表值:HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

Hidden -> 0x02

HKCR\\txtfile\\shell\\open\\command\\(Default)

"C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\win1ogon.exe"

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced

HideFileExt -> 0x01

HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer

NoFolderOptions -> 0x01

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer

NoClose -> 0x01

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer

StartMenuLogOff -> 0x01

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer

NoFind -> 0x01

删除键值

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL

使得系统中无法查看隐藏文件，无法关闭与注销系统，无法打开txt文档，严重影响用户的工作。

并添加以下两处注册表值:HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\system

legalnoticecaption -> "警告:"

HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\policies\\system

legalnoticetext ->" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件"使得Windows启动时会弹出该信息窗口，给用户造成恐慌。

3:注册服务

病毒会注册一个名为"WINS"的服务，并指向C:\\Documents and Settings\\All Users\\Application Data\\Microsoft\\win1ogon.exe

使病毒能随Windows启动。

4:删除文件

病毒会删除以下文件:C:\\\\Program Files\\\\Tencent\\*.*其它分区的所有文件，但不会删除文件夹，给用户造成巨大的损失。