呼吁有关部门将此类病毒作者绳之以法,中毒后会弹出如下提示:
“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮
[email]liugongs19670519@yahoo.com.cn[/email]
购买相应的软件”
这是"敲诈者"病毒的一个新变种,它能覆盖Windows的任务管理器,使得任务管理器无法使用。
1:拷贝文件
病毒运行后,会把自己拷贝到以下地方:
C:\windows\system32\wins.com
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
往该文件写入警告语言并显示。
C:\Documents and Settings\All Users\桌面\警告.h
其中以下两处为Windows任务管理器的文件,病毒是直接把任务管理器替换成病毒本身,
使用户无法使用Windows任务管理器
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
2:修改注册表:
病毒会修改以下注册表值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden -> 0x02
HKCR\txtfile\shell\open\command\(Default)
"C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt -> 0x01
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoClose -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
StartMenuLogOff -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFind -> 0x01
删除键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
使得系统中无法查看隐藏文件,无法关闭与注销系统,无法打开txt文档,严重影响用户的工作。
并添加以下两处注册表值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticecaption -> "警告:"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticetext ->" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮[email]liugongs19670519@yahoo.com.cn[/email]购买相应的软件"
使得Windows启动时会弹出该信息窗口,给用户造成恐慌。
3:注册服务
病毒会注册一个名为"WINS"的服务,并指向
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
使病毒能随Windows启动。
1:拷贝文件
病毒运行后,会把自己拷贝到以下地方:
C:\windows\system32\wins.com
C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
往该文件写入警告语言并显示。
C:\Documents and Settings\All Users\桌面\警告.h
其中以下两处为Windows任务管理器的文件,病毒是直接把任务管理器替换成病毒本身,
使用户无法使用Windows任务管理器
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe
2:修改注册表:
病毒会修改以下注册表值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden -> 0x02
HKCR\txtfile\shell\open\command\(Default)
"C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt -> 0x01
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoClose -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
StartMenuLogOff -> 0x01
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFind -> 0x01
删除键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
使得系统中无法查看隐藏文件,无法关闭与注销系统,无法打开txt文档,严重影响用户的工作。
并添加以下两处注册表值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticecaption -> "警告:"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticetext ->" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮[email]liugongs19670519@yahoo.com.cn[/email]购买相应的软件"
使得Windows启动时会弹出该信息窗口,给用户造成恐慌。
3:注册服务
病毒会注册一个名为"WINS"的服务,并指向
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
使病毒能随Windows启动。
874
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
