W32.Whiter.Trojan,是一種計算機木馬病毒。運行後會生成假的XP序列號,同時刪除系統檔案,造成電腦無法啟動。
基本介紹
- 中文名:W32.Whiter.Trojan
- 別名:Trojan.Win32.Whiter.a
- 大小: 57,344位元組(56.0KB)
- 類型:木馬病毒
- 語言:英語
編寫緣由,觸發行為,
編寫緣由
有跡象表明該木馬的出現主要針對的是Windows XP註冊序列號。
觸發行為
當木馬被激活後,會打開一個記事本檔案,其中會出現一個看似“有效”的序列號
生成假的序列號
其實這只是一個隨機產生的數字串而已,無法用於Windows安裝。同時木馬還將自身安裝到系統中,企圖刪除硬碟上的所有檔案。
木馬被激活後,將自身複製到 %System% 目錄下(默認情況下是C:\Windows\System),檔案名稱為Whismng.exe。
創建如下的註冊鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加值:
Whistler %System%\whismng.exe -next
註冊表鍵值
木馬W32.Whiter.Trojan的破壞行為是刪除硬碟的所有檔案,而且採取的方式是先將檔案清空(使大小為0)再刪除,這樣就給數據恢復帶來了很大困難。
幾乎所有的系統檔案都被刪除,剩下一點點正在使用中的驅動、資源
在刪檔案之前,木馬會在C糟下創建一個名為wxp的檔案,並寫入下面的文本:
"You did a piracy, you deserve it."
檔案wxp的文本
wxp檔案可以用記事本打開。
