病毒標籤
病毒名稱: Trojan.Win32.Pluder.a中文名稱: 敲詐者
病毒類型: 木馬類
檔案 MD5: 3021325C84FC224AE10BA814BF9ECE2F
公開範圍: 完全公開
危害等級: 中
檔案長度: 196,096 位元組
感染系統: windows98及以上版本
開發工具: Borland Delphi 6.0 - 7.0
加殼類型: UPX
命名對照: Symentec[無]
Mcafee[無]
病毒描述
病毒為了達到敲詐的目的,還會新建兩個文本檔案,同時在“開始選單\所有程式\啟動”選單下建立指向該文本檔案的捷徑。病毒還會嘗試結束某些進程,阻止用戶清除病毒。行為分析
1、病毒為了達到敲詐的目的,會生成兩個文本檔案,內容分別為:1)你的硬碟資料丟失了,是因為手機的強電磁流影響了硬碟的正常讀寫
2) 你必須使用磁碟修復工具拯救找回丟失的資料檔案.
3) 但是,你正在使用的不是正版軟體,是盜版
4) 你必須拯救修復丟失的資料,並且儘快購買正版的軟體,
5) 點擊左下角[開始], 點擊 [所有程式], 點擊 [附屬檔案], 點擊 [修復硬碟資料]
6) 為了確保你能儘快修復全部資料,必須在兩小時內迅速辦理,
7) 按以上方法做的,一定能修復的資料包括:[被隱藏的檔案名稱稱]。
網路下載過程中受電磁信號干擾,數據中有錯誤
不能打開, 請關閉
2、病毒裝自身複製到%system%下,並新建病毒檔案:
%system%\redplus.exe
%tmp%\Sunhay.txt
%All Users%\「開始」選單\程式\桌面
3、添加註冊表啟動項,達到隨機啟動的目的:
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
鍵值:字串:”Shell Folders”=”%Documents and Settings%\
All Users\開始\選單\程式\啟動\startup”
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
鍵值:字串:”Shell Folders”=” C:\Documents and Settings
\All Users\「開始」選單\程式\桌面\desktop”
4、病毒在本地磁碟根目錄下建立一個屬性為系統、隱藏和唯讀的備份資料夾,名為“控制臺.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同時搜尋本地磁碟上的用戶常用格式文檔(擴展名為:.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜尋到的檔案移動到上述備份資料夾中,造成用戶常用文檔丟失的假象。
5、病毒還會結束除以下進程列表外的所有進程:
EXPLORER.EXE
systray.exe
snmptrap.exe
HCOUNT.EXE
irmon.exe
SCARDSVR.EXE
mstask.exe
spool32.exe
KERNEL32.DLL
DDHELP.EXE
SMSS.EXE
soundman.exe
stimon.exe
stMgr.exe
TASKMON.EXE
WMIEXE.EXE
winmgmt.exe
CSRSS.EXE
CTFMON.EXE
LSASS.EXE
SERVICES.EXE
spoolsv.exe
SVCHOST.EXE
NSUM.EXE
SYSTEM
TLIST.EXE
INTERNAT.EXE
system idle process
WINLOGON.EXE
WMIPRVSE.EXE
CISVC.EXE
NSPMON.EXE
SFMPRINT.EXE
MSIEXEC.EXE
utilman.exe
GROVEL.EXE
RSFSA.EXE
RSENG.EXE
RSVP.EXE
smlogsvc.exe
NETDDE.EXE
mnmsrvc.exe
dmadmin.exe
faxsvc.exe
MSDTC.EXE
clipsrv.exe
dfssvc.exe
LSERVER.EXE
LOCATOR.EXE
RSSUB.EXE
llssrv.exe
NTFRS.EXE
wins.exe
ups.exe
ISMSERV.EXE
dns.exe
termsrv.exe
TFTPD.EXE
tlntsvr.exe
INETINFO.EXE
regsvc.exe
TASKMGR.EXE
DLLHOST.EXE
mdm.exe
RPCSS.EXE
snmp.exe
STISVC.EXE
MAPISP32.EXE
mmc.exe
sndvol32.exe
msmsgs.exe
nvsvc32.exe
註:% System%是一個可變路徑。病毒通過查詢作業系統來決定當前System資料夾的位置。Windows2000/NT中默認的安裝路徑是C:\Winnt\System32,windows95/98/me中默認的安裝路徑是C:\Windows\System,windowsXP中默認的安裝路徑是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木馬防線可徹底清除此病毒(推薦)。2、手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 進入安全模式下,結束該病毒進。
(2) 將名為“控制臺.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”的資料夾內的檔案全部複製出。
(3) 刪除原病毒副本、相關資料夾、病毒釋放的文本文檔及%system%\redplus.exe
(4) 刪除註冊表以下鍵值:
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
鍵值:字串:”Shell Folders”=”%Documents and Settings%
\All Users\開始\選單\程式\啟動\startup”
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
鍵值:字串:”Shell Folders”=” C:\Documents and Settings\All Users\「開始」選單\程式\桌面\desktop”