Trojan.Win32.Autoit.aa
中文名稱: 敲詐者變種病毒類型: 木馬
檔案 MD5: B150ECBA5B974C65E67F0DC32082A3A0
公開範圍: 完全公開
危害等級: 3
檔案長度: 696,189 位元組
感染系統: windows2000以上版本
加殼類型: nSPack 3.1 -> North Star/Liu Xing Ping
病毒描述:
該病毒運行後,衍生病毒檔案到系統目錄下,添加註冊表自動運行項以隨機引導病毒體。該病毒主要行為為刪除用戶擴展分區的所有檔案,並向用戶進行勒索。表現形式為用戶登入前彈出文本勒索用戶,進入系統後彈出對話框,恐嚇用戶,如果用戶點擊確定,則重啟電腦。給用戶帶來極大不便,行為極其惡劣。
行為分析:
1、衍生下列副本與檔案:
%WINDOWS%\System32\1sass.exe"
%Documents and Settings%用戶名\Application Data\\mmc.exe
2、修改註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command\@
New: String: "C:\WINDOWS\System32\1sass.exe"
Old: String: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
New: String: "C:\Documents and Settings\antiy\Application Data
\Microsoft\
win1ogon.exe"
Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\policies\
system\legalnoticecaption
New: String: "嚴重警告:"
Old: (value not set)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
\system\
legalnoticetext
New: String: " 您使用了經過反彙編的軟體,此行為嚴重對軟體作者侵權!所以部份檔案已隱藏在鎖定的扇區,如需解鎖釋放檔案,請聯繫:[email protected]獲取相應的解鎖軟體,否則隱藏的檔案將永遠塵封起來!即使格式化也於事無補!
Old: String: ""
3、新建註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shell\windows\command\@
Value: String: "%WINDOWS%\System32\1sass.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run\svchost.exe
Value: String: "%Documents and Settings%用戶名\Application Data
\\MMC.exe"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\
NoFind
Value: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer\
NoFolderOptions
Value: DWORD: 1 (0x1)
4、刪除註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
\Folder\Hidden\SHOWALL\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
\Folder\Hidden\SHOWALL\CheckedValue Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
\Folder\Hidden\SHOWALL\DefaultValue Value: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
\Folder\Hidden\SHOWALL\HelpID
Value: String: "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
\Folder\Hidden\SHOWALL\HKeyRoot
Value: DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced
\Folder\Hidden\SHOWALL\RegPath
Value: String: "Software\Microsoft\Windows\CurrentVersion\Explorer
\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced
\Folder\Hidden\SHOWALL\Text
Value: String: "@shell32.dll,-30500"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced
\Folder\Hidden\SHOWALL\Type
Value: String: "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
\Advanced
\Folder\Hidden\SHOWALL\ValueName Value: String: "Hidden"
5、添加連結:
Documents and Settings\antiy\「開始」選單\程式\啟動\MMC.exe連結
Value: "%Documents and Settings%\用戶名\Application Data\Microsoft\win1ogon.exe"
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
清除方案:
1、使用安天防木馬線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 點擊運行,輸入msconfig.exe。在啟動項中,去掉兩個以MMC為命名前綴的啟動項。
(2) 重啟電腦
(3) 在“運行”中輸入gpedit.msc,依次展開:
“用戶配置”=>“管理模板”=>“Windows組件”=>“Windows資源管理器”雙擊
“從“工具”選單中刪除“資料夾選項”選單” 選中“已禁用”
(4) 改下列註冊表為原值:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\runas\command\@
New: String: "C:\WINDOWS\System32\1sass.exe"
Old: String: ""%1" %*"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
New: String: "%\Documents and Settings%\用戶名\ApplicationData\
Microsoft\win1ogon.exe"
Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes
%SystemRoot%\system32\NOTEPAD.EXE %1.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
\legalnoticetext
New: String: " 您使用了經過反彙編的軟體,此行為嚴重對軟體作者侵權!所以部份檔案已隱藏在鎖定的扇區,如需解鎖釋放檔案,請聯繫: [email protected]獲取相應的解鎖軟體,否則隱藏的檔案將永遠塵封起來!即使格式化也於事無補!
Old: String: ""
(5) 將下列內容保存為.reg檔案,雙擊導入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\
Advanced\Folder\Hidden\SHOWALL]
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\
Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
(6) 打開“資料夾選項”選至下列狀態:
(7) 刪除病毒衍生檔案:
%WINDOWS%\System32\1sass.exe"
%Documents and Settings%用戶名\Application Data\\MMC.exe
(8) 對於刪除檔案,用戶可採用Easyrecover軟體,找專業數據恢復人士或自行恢復。
