Trojan.Win32.QiaoZhaz.d介紹
病毒名稱: Trojan.Win32.QiaoZhaz.d
病毒類型: 木馬
檔案 MD5: EEDDAD7A79CD000B5C13FA6DF0C29AAF
公開範圍: 完全公開
危害等級: 5
檔案長度: 401,759 位元組
感染系統: Win9X以上系統
開發工具: Microsoft Visual C++ 6.0
加殼類型 : UPX 0.89.6 - 1.02 / 1.05 - 1.22
病毒描述
該病毒屬木馬類,病毒運行後彈出對話框,內容為“發現您硬碟內曾使用過盜版了的我公司
軟體 , 所以將您部份檔案移到鎖定了的扇區 , 若要解鎖將檔案釋放 , 請電郵 [email protected]購買相應的軟體”。在 2000 系統下點擊確定後不自動註銷。
XP 系統下點擊確定後系統會自動註銷,由於病毒載入了啟動項,所以開機病毒會自動運行,會繼
續彈出對話框,反覆循環。病毒衍生檔案到系統目錄下,在啟動資料夾內衍生病毒檔案,並重命名為 svchost.exe 。創建服務,並以服務的方式達到隨機啟動的目的。去除“資料夾選項”,使用
戶無法選擇“顯示所有隱藏檔案”和不能去掉“隱藏受保護的系統檔案”“隱藏已知檔案類型的擴展名”。去除開始選單中的“搜尋”、“運行”項和“關機”項,使用戶不能使用搜尋、 command 命令和關機、註銷。修改 txt 檔案關聯,當用戶試圖運行 txt 檔案時,則會激活病毒,同樣的辦法修改任務管理器關聯,無論用戶怎樣打開任務管理器,都會激活病毒。病毒把屏保時間修改為
60 秒,在 %system32% 資料夾下生成病毒屏保檔案,當用戶 60 秒不操作計算機時,系統會自動
運行病毒。該病毒利用多種方法來保護自身。刪除非系統盤外的所有檔案,並在每個盤符下建立一個名為:警告 .h 的檔案。該病毒的行為極其惡劣,不停的彈出對話框,對用戶進行敲詐勒索。
行為分析:
1 、 病毒運行後彈出對話框,內容為“發現您硬碟內曾使用過盜版了的我公司軟體 , 所以將您部份檔案移到鎖定了的扇區 , 若要解鎖將檔案釋放 , 請電郵 [email protected]購買相應的軟體”。向用戶進行敲詐勒索。在 2000 系統下點擊確定後不自動註銷。 XP 系統下點擊確定後系統會自動註銷,由於病毒載入了啟動項,所以開機病毒會自動運行,會繼續彈出對話框,反覆循環。
2 、 衍生病毒檔案:
%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\All Users\ 「開始」選單 \ 程式 \ 啟動 \svchost.com
%Documents and Settings%\All Users\ 桌面 \ 警告 .h
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr %Documents and Settings%\commander\NTUSER.DAT.LOG %WINDIR%\Debug\UserMode\userenv.log
%WINDIR%\setupapi.log
%system32%\CatRoot2\dberr.txt
%system32%\config\default.LOG
%system32%\config\software.LOG
%system32%\config\system.LOG
%system32%\dllcache\taskmgr.exe
%system32%\taskmgr.exe
%system32%\wins.com
%system32%\ 飛越星球 .scr
3 、 創建服務,並以服務的方式達到隨機啟動的目的:
顯示名稱: WINS
描述: WINS 為客戶提供系統域名解析服務
執行檔的路徑: C:\windows\system32\wins.com
啟動類型:自動
4 、 去除“資料夾選項”,使用戶無法選擇“顯示所有隱藏檔案”和不能去掉“隱藏受保護的
系統檔案”“隱藏已知檔案類型的擴展名”:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
新建鍵值: DWORD: 2 (0x2)
原鍵值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
新建鍵值: DWORD: 1 (0x1)
原鍵值: DWORD: 0 (0)
5 、 去除開始選單中的“搜尋”、“運行”項和“關機”項,使用戶不能使用搜尋、 command
命令和關機、註銷:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\NoClose
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\NoFind
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\NoRun
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\StartMenuLogOff
鍵值 : DWORD: 1 (0x1)
6 、 修改 txt 檔案關聯,當用戶試圖運行 txt 檔案時,則會激活病毒,同樣的辦法修改任務
管理器關聯,無論用戶怎樣打開任務管理器,都會激活病毒:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoDriveTypeAutoRun
新建鍵值 : DWORD: 0 (0)
舊 : DWORD: 145 (0x91)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
新建鍵值 :"C:\Documents and Settings\All Users\Application Data\
Microsoft\win1ogon.exe"
7 、 刪除的註冊表項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
鍵值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\HelpID
鍵值 : 字元串 : "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\HKeyRoot
鍵值 : DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\RegPath
鍵值 : 字元串 : "Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\Text
鍵值 : 字元串 : "@shell32.dll,-30500"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\Type
鍵值 : 字元串 : "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\ValueName
鍵值 : 字元串 : "Hidden"
8 、 病毒把屏保時間修改為 60 秒,在 %system32% 資料夾下生成病毒屏保檔案,當用戶 60 秒
不操作計算機時,系統會自動運行病毒:
HKEY_CURRENT_USER\Control Panel\Desktop\
新建鍵值 : 字串 : "ScreenSaveTimeOut"="60"
原鍵值 : 字串 : "ScreenSaveTimeOut"="600"
HKEY_CURRENT_USER\Control Panel\Desktop\
新建鍵值 : 字串 : "SCRNSAVE.EXE"="C:\WINDOWS\system32\ 飛越星球 .scr"
原鍵值 : 字串 : "SCRNSAVE.EXE"="C:\WINDOWS\System32\logon.scr"
9 、 刪除非系統盤外的所有檔案,並在每個盤符下建立一個名為:警告 .h 的檔案,內容為:“發現您硬碟內曾使用過盜版了的我公司軟體 , 所以將您部份檔案移到鎖定了的扇區 , 若要解鎖將檔案釋放 , 請電郵 [email protected]購買相應的軟體。”
註: %system32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 system32 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\system32 , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows\system32 。
--------------------------------------------------------------------------------
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 使用 安天木馬防線 “進程管理”關閉病毒進程
win1ogon.exe < 路徑 : C:\Documents and Settings\All Users\
Application Data\Microsoft\win1ogon.exe>
svchost.exe < 路徑 : C:\Documents and Settings\Administrator\
「開始」選單 \ 程式 \ 啟動 \svchost.exe>
(2) 刪除病毒檔案:
%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\All Users\ 「開始」選單 \ 程式 \ 啟動 \svchost.com
%Documents and Settings%\All Users\ 桌面 \ 警告 .h
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\commander\NTUSER.DAT.LOG
%WINDIR%\Debug\UserMode\userenv.log
%WINDIR%\setupapi.log
%system32%\CatRoot2\dberr.txt
%system32%\config\default.LOG
%system32%\config\software.LOG
%system32%\config\system.LOG
%system32%\taskmgr.exe
%system32%\wins.com
%system32%\ 飛越星球 .scr
(3) www.antiy.com/download/敲詐者病毒變種D專用修復工具.rar 下載敲詐者病毒變種D專用註冊表修復工具。
(4) 雙擊“敲詐者病毒變種D專用註冊表修復工具.reg”將其內容導入註冊表。
(5) 將taskmgr.exe檔案複製到C:\windows\system32目錄下。