2006年6月11日,江民公司反病毒中心监测到一个恶意隐藏用户文档,进行敲诈的木马病毒(Trojan/Agent.bq)。目前已经收到了感染该木马不同变种的用户报告。
技术分析如下:
1、木马运行后,将自身复制为%SystemDir%\redplus.exe,大小200KB左右。建立快捷方式“开始菜单\所有程序\附件\修复硬盘资料”,指向病毒程序。
2、在本地磁盘根目录建立属性为系统、隐藏和只读的备份文件夹“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”;搜索本地磁盘上的用户文档(.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到备份文件夹中。
3、生成文本文件“拯救硬盘.txt”,内容如下:
“1. 你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写
2. 你必须使用磁盘修复工具拯救找回丢失的资料文件
3. 但是,你正在使用的不是正版软件,是盗版
4. 你必须拯救修复丢失的资料,并且尽快购买正版的软件,
5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6. 为了确保你能尽快修复全部资料,必须在两小时内迅速办理,
7. 按以上方法做的,一定能修复的资料包括:
被隐藏的文件名称”
同时在“开始菜单\所有程序\启动”下建立指向“拯救硬盘.txt”的快捷方式,这样每次系统启动,用户都会看到上述文本内容。
4、当用户按照“拯救磁盘.txt”中描述的步骤,运行redplus.exe后,显示如下:
5、该木马运行时,还会试图结束除几个系统进程外的所有程序,达到终止反病毒软件和病毒分析工具的目的。
前几个月,国外曾经出现过一系列对用户文档加密后进行敲诈的恶意木马,但在国内没有感染报告。此次发现的Trojan/Agent.bq是可以确定是国内病毒作者编写,专门针对中文用户。
针对该木马,江民公司已经升级了病毒库,请将KV系列杀毒软件的病毒库升级到最新,即可查杀。
(e129)
