基本介紹
- 中文名:Win32.Troj.Dropper.v
- 影響系統:Win 9x/ME,Win 2000/NT,WinXP,
- 處理時間:2007-01-11
- 威脅級別:★
病毒行為
該病毒是一個敲詐者木馬。運行該病毒刪除非系統盤和系統盤指定資料夾里的所有檔案,打開一個htm腳本,並彈出警告框說電腦用戶破壞了軟體的許可協定,要求和病毒作者聯繫。每次重起電腦都會再彈出一個標題為嚴重警告的對話框,說將部分檔案鎖起來了,其實是病毒直接刪除掉了,當然中毒用戶也不要荒,給刪掉的數據可以使用金山數據安全工具或其他數據恢復工具修復,但在未修復數據期間最好不向要修復磁碟寫如任何檔案,以免進一不破壞數據造成更大損失。製造並使用該類病毒敲詐電腦用戶屬於違法行為,建議中毒用戶向公安機關報案並協助警方破案。若電腦中數據比較重要則請專業人員做修復工作。
1、生成的檔案
%Program Files%\Internet Explorer\file.htm
%Program Files%\Internet Explorer\file.exe
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\E_4\krnln.fnr
%DOCUME~1%\ADMINI~1\LOCALS~1\Temp\E_4\shell.fne
%SystemRoot%\system32\1sass.exe
%Documents and Settings%\administrator\ApplicationData\MMC.exe
%Documents and Settings%\administrator\「開始」選單\程式\啟動\MMC.exe.lnk
2、添加啟動項
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
"svchost.exe" = "%Documents and Settings%\administrator\ApplicationData\\MMC.exe"
C:\Documents and Settings\administrator\「開始」選單\程式\啟動\MMC.exe.lnk
3、修改exe,txt檔案關聯
HKCR\exefile\shell\runas\command
"(Default)" = "C:\WINNT\system32\1sass.exe"
HKCR\txtfile\shell\open\command
"(Default)" = "%Documents and Settings%\administrator\ApplicationData\Microsoft\win1ogon.exe"
4、設定系統總是隱藏檔案及隱藏擴展名
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
"Hidden" = "0x2"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
"SHOWALL" = "0xE21BD500"
"HideFileExt" = "0x1"
5、添加註冊表信息,開機進桌面是彈出對話框
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
"legalnoticecaption" = "嚴重警告:"
