簡介
威脅級別:★病毒類型:木馬
影響系統:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行為
該病毒是一個敲詐者木馬。它會刪除非系統盤和系統盤指定資料夾里的所有檔案,然後彈出警告框要求中毒用戶聯繫作者,並慌稱病毒將硬碟數據鎖定,要購買相關解鎖軟體。其實病毒是把檔案直接刪除了,並未做數據備份和鎖定。給病毒刪除的檔案,可以使用金山數據安全工具或其他數據恢復工具修復。但在未修複數據期間不得向要修復磁碟寫如任何檔案,以確保磁碟中數據不被進一步破壞,從而達到完美修復效果。製造並使用該類病毒敲詐電腦用戶屬於違法行為,建議中毒用戶向公安機關報案並協助警方破案。若電腦中數據比較重要則請專業人員做修復工作。1、生成的檔案,並將病毒檔案設定屬性為隱藏
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
%Documents and Settings%\administrator\「開始」選單\程式\啟動\svchost.com
%Documents and Settings%\administrator\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\administrator\桌面\警告.h
2、添加啟動項
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"svchost.exe" = "%Documents and Settings%\administrator\Application Data\Microsoft\win1ogon.exe"
3、修改txt檔案關聯
HKCR\txtfile\shell\open\command
"(Default)" = "%Documents and Settings%\administrator\Application Data\Microsoft\win1ogon.exe"
4、設定系統總是隱藏檔案及隱藏擴展名
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "0x2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
"SHOWALL" = "0xE21BD500"
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"HideFileExt" = "0x1"
5、彈出警告對話框
標題:
系統將重新啟動!
內容:
警告:
發現您硬碟內有盜版了的本公司軟體,所以我們已將您硬碟內部份數據移位到了鎖定的扇區,如要解開被鎖的扇區將檔案釋放出來,請電郵至[email protected]購買相關的解鎖軟體
6、檔案"警告.h"內容和彈出對話框內容一致。病毒運行期間,用戶打開文本或其他文檔都會彈出警告對話框。
手工清除病毒
(1)使用任務管理器結束win1ogon.exe和原病毒進程(2)刪除病毒生成的檔案,因為檔案給隱藏需藉助其他工具刪除
(3)刪除病毒做的啟動項及檔案關聯及可
