IT运维管理,创造商业价值!
中国IT运维网首页 | 资讯中心 | 运维管理 | 信息安全 | CIO视界 | 云计算 | 最佳案例 | 运维资源 | 专题策划 | 知识库 | 论坛

小心被敲诈 警惕恶意QiaoZhaz.d木马

2007年03月08日
赛迪网安全社区/h24arj

Trojan.Win32.QiaoZhaz.d属木马类,病毒运行后弹出对话框,内容为“发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件”。在 2000 系统下点击确定后不自动注销。XP 系统下点击确定后系统会自动注销,由于病毒加载了启动项,所以开机病毒会自动运行,会继续弹出对话框,反复循环。病毒衍生文件到系统目录下,在启动文件夹内衍生病毒文件,并重命名为 svchost.exe 。创建服务,并以服务的方式达到随机启动的目的。去除“文件夹选项”,使用户无法选择“显示所有隐藏文件”和不能去掉“隐藏受保护的系统文件”“隐藏已知文件类型的扩展名”。去除开始菜单中的“搜索”、“运行”项和“关机”项,使用户不能使用搜索、 command 命令和关机、注销。修改 txt 文件关联,当用户试图运行 txt 文件时,则会激活病毒,同样的办法修改任务管理器关联,无论用户怎样打开任务管理器,都会激活病毒。病毒把屏保时间修改为60 秒,在 %system32% 文件夹下生成病毒屏保文件,当用户 60 秒不操作计算机时,系统会自动运行病毒。该病毒利用多种方法来保护自身。删除非系统盘外的所有文件,并在每个盘符下建立一个名为:警告 .h 的文件。该病毒的行为极其恶劣,不停的弹出对话框,对用户进行敲诈勒索。

清除方案:删除对应文件,恢复相关系统设置。

(1)首先关闭下列病毒进程:

win1ogon.exe < 路径 : C:\Documents and Settings\All UsersApplication Data\Microsoft\win1ogon.exe> 
svchost.exe < 路径 : C:\Documents and Settings\Administrator\ 
开始」菜单 \ 程序 \ 启动 \svchost.exe>

(2)删除病毒文件:

%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe 
%Documents and Settings%\All Users\ 「开始」菜单 \ 程序 \ 启动 \svchost.com 
%Documents and Settings%\All Users\ 桌面 \ 警告 .h 
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr 
%Documents and Settings%\commander\NTUSER.DAT.LOG
%WINDIR%\Debug\UserMode\userenv.log 
%WINDIR%\setupapi.log 
%system32%\CatRoot2\dberr.txt 
%system32%\config\default.LOG 
%system32%\config\software.LOG 
%system32%\config\system.LOG
%system32%\taskmgr.exe 
%system32%\wins.com 
%system32%\ 飞越星球 .scr

(3)将下列内容导入注册表里,

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\FolderHidden\SHOWALL]
"CheckedValue"=dword:00000001
"DefaultValue"=dword:00000002
"HelpID"="shell.hlp#51105"
"HKeyRoot"=dword:800000001
"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"ValueName"="Hidden"

[HKEY_CURRENT_USER\Control Panel\Desktop]
"ScreenSaveTimeOut"="900"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CLASSES_ROOT\txtfile\shell\open\command]
@="C:\\WINDOWS\\notepad.exe %1"

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

[HKEY_CURRENT_USER\Control Panel\Desktop]
"SCRNSAVE.EXE"="nothing"

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"svchost.exe"="nothing"

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS   ]

(4)在其他干净的系统拷贝一个taskmgr.exe文件,把它复制到C:\windows\system32目录下,覆盖原文件即可。

发表评论请到:http://bbs.cnitom.com

相关阅读

图文热点

Power架构产品创新 IBM推动其本土化发展
Power架构产品创新 IBM推动其本土化发展自从1990年,IBM推出基于RISC系统的新产品线RS/6000(现称eServer p系列)之后,...
WAF:高校Web应用安全守护者
WAF:高校Web应用安全守护者最近几年高校网站被攻击的事件时有发生,造成了不良影响,因此越来越多的高校开始...

本类热点