一个新的敲诈者病毒

呼吁有关部门将此类病毒作者绳之以法，中毒后会弹出如下提示：

“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮 [email]liugongs19670519@yahoo.com.cn[/email] 购买相应的软件”

这是”敲诈者”病毒的一个新变种，它能覆盖Windows的任务管理器，使得任务管理器无法使用。

1:拷贝文件 病毒运行后,会把自己拷贝到以下地方: C:\windows\system32\wins.com C:\Documents and Settings\All Users\「开始」菜单\程序\启动\svchost.com C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe C:\WINDOWS\system32\dllcache\taskmgr.exe C:\WINDOWS\system32\taskmgr.exe

往该文件写入警告语言并显示。 C:\Documents and Settings\All Users\桌面\警告.h

其中以下两处为Windows任务管理器的文件，病毒是直接把任务管理器替换成病毒本身， 使用户无法使用Windows任务管理器 C:\WINDOWS\system32\dllcache\taskmgr.exe C:\WINDOWS\system32\taskmgr.exe

2:修改注册表: 病毒会修改以下注册表值: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced Hidden -> 0x02

HKCR\txtfile\shell\open\command\(Default) “C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe”

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced HideFileExt -> 0x01

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer NoFolderOptions -> 0x01

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoClose -> 0x01

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer StartMenuLogOff -> 0x01

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer NoFind -> 0x01

删除键值 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL 使得系统中无法查看隐藏文件，无法关闭与注销系统，无法打开txt文档，严重影响用户的工作。

并添加以下两处注册表值: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system legalnoticecaption -> “警告:”

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system legalnoticetext ->” 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮[email]liugongs19670519@yahoo.com.cn[/email]购买相应的软件”

使得Windows启动时会弹出该信息窗口，给用户造成恐慌。

3:注册服务 病毒会注册一个名为”WINS”的服务，并指向 C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe 使病毒能随Windows启动。

发布者：全栈程序员栈长，转载请注明出处：https://javaforall.cn/111110.html原文链接：https://javaforall.cn