2006年6月11日,国内首例旨在敲诈被感染用户钱财的木马病毒已经出现。该病毒命名为:
Kaspersky:Trojan.Win32.Pluder.a
江民:Trojan/Agent.bq(敲诈者)
瑞星:Trojan.KillProc.q
金山:
木马防线:Trojan.Win32.Pluder.a
病毒可恶意隐藏用户文档,并借修复数据之名向用户索取钱财。
“敲诈者”木马运行后,在系统目录下将自身复制为redplus.exe,大小200KB左右。建立快捷方式“开始菜单\所有程序\附件\修复硬盘资料“,并指向病毒程序。
病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。
病毒为了达到敲诈的目的,还会生成一名为“拯救硬盘.txt”的文本文件,内容如下:
“
1. 你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写
2. 你必须使用磁盘修复工具拯救找回丢失的资料文件
3. 但是,你正在使用的不是正版软件,是盗版
4. 你必须拯救修复丢失的资料,并且尽快购买正版的软件,
5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6. 为了确保你能尽快修复全部资料,必须在两小时内迅速办理,
7. 按以上方法做的,一定能修复的资料包括:
[被隐藏的文件名称]
“
病毒同时在“开始菜单\所有程序\启动”菜单下建立指向“拯救硬盘.txt”的快捷方式,这样每次系统启动,用户都会看到上述文本内容。
如果中毒用户用户按照“拯救磁盘.txt“中描述的步骤,运行病毒文件redplus.exe后,则显示如图所示的敲诈文字,内容大致为要求中毒用户向某指定的工行账户内汇入70元人民币(早期是90元人民币,后来作者更改了),并向指定的手机号码发送相关短信。
该木马运行时,还会试图结束除几个系统进程外的所有程序,达到终止反病毒软件和病毒分析工具的目的。
动物家园计算机安全咨询中心解决方法:
如果感染此病毒的用户,千万别中病毒作者的道,先打电话报警.然后咨询是否需要记录等.
接着用户可以自己通过以下几种方式对数据进行修复:
1、使用 WinRAR 浏览病毒建立的 控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 目录里,把被隐藏的文件可以直接复制出来,即可以。
2、用 WinRAR 里把 病毒建立的控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D} 目录的名字做修改,去掉后面那串 .{21EC2020-3AEA-1069-A2DD-08002B30309D} 即可,然后到文件夹选项里,把选择“显示所有文件”和取消“受保护的操作系统文件”,确定后,就可以直接查看到被恶意隐藏的那些文件,复制到原来的目录,去除它们的系统+隐藏属性即可。
最后,提醒下大家,切勿乱运行不明程序,下载后先用杀毒软件查杀后确定没有危险再去运行。
(e129)
|
