读书笔记摘抄新闻资讯Trojan.Win32.Pluder.a
该病毒属木马类,病毒盗用windows xp下应用程式“磁碟清理”图示,病毒运行后弹出对话框,要求输入正版序列号,向指定账户汇款等。病毒运行后複製原病毒副本%system%\redplus.exe,病毒在本地磁碟根目录下新建一个资料夹,其属性为系统、隐藏及唯读,用于备份档案。同时搜寻本地磁碟上的用户常用格式文档(扩展名为:.xls、doc、mdb、ppt、wps、zip、rar),并把搜寻到的档案移动到上述备份资料夹中,造成用户常用文档丢失的假象。
基本介绍
- 中文名:Trojan.Win32.Pluder.a
- 病毒类型:木马类
- 中文名称:敲诈者
- 公开範围: 完全公开
病毒标籤
病毒名称: Trojan.Win32.Pluder.a
中文名称: 敲诈者
病毒类型: 木马类
档案 MD5: 3021325C84FC224AE10BA814BF9ECE2F
公开範围: 完全公开
危害等级: 中
档案长度: 196,096 位元组
感染系统: windows98及以上版本
开发工具: Borland Delphi 6.0 - 7.0
加壳类型: UPX
命名对照: Symentec[无]
Mcafee[无]
病毒描述
病毒为了达到敲诈的目的,还会新建两个文本档案,同时在“开始选单\所有程式\启动”选单下建立指向该文本档案的捷径。病毒还会尝试结束某些进程,阻止用户清除病毒。
行为分析
1、病毒为了达到敲诈的目的,会生成两个文本档案,内容分别为:
1)你的硬碟资料丢失了,是因为手机的强电磁流影响了硬碟的正常读写
2) 你必须使用磁碟修复工具拯救找回丢失的资料档案.
3) 但是,你正在使用的不是正版软体,是盗版
4) 你必须拯救修复丢失的资料,并且儘快购买正版的软体,
5) 点击左下角[开始], 点击 [所有程式], 点击 [附属档案], 点击 [修复硬碟资料]
6) 为了确保你能儘快修复全部资料,必须在两小时内迅速办理,
7) 按以上方法做的,一定能修复的资料包括:[被隐藏的档案名称称]。
网路下载过程中受电磁信号干扰,数据中有错误
不能打开, 请关闭
2、病毒装自身複製到%system%下,并新建病毒档案:
%system%\redplus.exe
%tmp%\Sunhay.txt
%All Users%\「开始」选单\程式\桌面
3、添加注册表启动项,达到随机启动的目的:
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值:字串:”Shell Folders”=”%Documents and Settings%\
All Users\开始\选单\程式\启动\startup”
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值:字串:”Shell Folders”=” C:\Documents and Settings
\All Users\「开始」选单\程式\桌面\desktop”
4、病毒在本地磁碟根目录下建立一个属性为系统、隐藏和唯读的备份资料夹,名为“控制台.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜寻本地磁碟上的用户常用格式文档(扩展名为:.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜寻到的档案移动到上述备份资料夹中,造成用户常用文档丢失的假象。
5、病毒还会结束除以下进程列表外的所有进程:
EXPLORER.EXE
SYSTRAY.EXE
SNMPTRAP.EXE
HCOUNT.EXE
IRMON.EXE
SCARDSVR.EXE
MSTASK.EXE
SPOOL32.EXE
KERNEL32.DLL
DDHELP.EXE
SMSS.EXE
SOUNDMAN.EXE
STIMON.EXE
STMGR.EXE
TASKMON.EXE
WMIEXE.EXE
WINMGMT.EXE
CSRSS.EXE
CTFMON.EXE
LSASS.EXE
SERVICES.EXE
SPOOLSV.EXE
SVCHOST.EXE
NSUM.EXE
SYSTEM
TLIST.EXE
INTERNAT.EXE
SYSTEM IDLE PROCESS
WINLOGON.EXE
WMIPRVSE.EXE
CISVC.EXE
NSPMON.EXE
SFMPRINT.EXE
MSIEXEC.EXE
UTILMAN.EXE
GROVEL.EXE
RSFSA.EXE
RSENG.EXE
RSVP.EXE
SMLOGSVC.EXE
NETDDE.EXE
MNMSRVC.EXE
DMADMIN.EXE
FAXSVC.EXE
MSDTC.EXE
CLIPSRV.EXE
DFSSVC.EXE
LSERVER.EXE
LOCATOR.EXE
RSSUB.EXE
LLSSRV.EXE
NTFRS.EXE
WINS.EXE
UPS.EXE
ISMSERV.EXE
DNS.EXE
TERMSRV.EXE
TFTPD.EXE
TLNTSVR.EXE
INETINFO.EXE
REGSVC.EXE
TASKMGR.EXE
DLLHOST.EXE
MDM.EXE
RPCSS.EXE
SNMP.EXE
STISVC.EXE
MAPISP32.EXE
MMC.EXE
SNDVOL32.EXE
MSMSGS.EXE
NVSVC32.EXE
注:% System%是一个可变路径。病毒通过查询作业系统来决定当前System资料夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP中默认的安装路径是C:\Windows\System32。
--------------------------------------------------------------------------------
清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应档案,恢复相关係统设定。
(1) 进入安全模式下,结束该病毒进。
(2) 将名为“控制台.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”的资料夹内的档案全部複製出。
(3) 删除原病毒副本、相关资料夹、病毒释放的文本文档及%system%\redplus.exe
(4) 删除注册表以下键值:
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值:字串:”Shell Folders”=”%Documents and Settings%
\All Users\开始\选单\程式\启动\startup”
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值:字串:”Shell Folders”=” C:\Documents and Settings\All Users\「开始」选单\程式\桌面\desktop”