病毒檔案
病毒名稱: Trojan.Win32.QiaoZhaz.c病毒類型: 木馬
檔案 MD5: 6f904cd896df07bf731663537753449
公開範圍: 完全公開
檔案長度: 446,303 位元組
開發工具: Microsoft Visual C++ 6.0
加殼類型 : 無
病毒危害
危害等級
5感染系統
Win95 Win98 Win2000 WinXP等系統病毒描述
刪除“資料夾選項”中的“顯示隱藏檔案”選項,刪除“資料夾選項”。刪除開始選單中的運行、關機、註銷、搜尋。修改TXT檔案的檔案關聯,打開任意該格式檔案都將打開病毒檔案。在每次開機時彈出系統提示,病毒運行時彈出注
銷提示,提示內容相同用以對用戶進行敲詐勒索,並刪除非系統盤的檔案。
行為分析
1 、 病毒運行後複製自身到 %system32% 及相關資料夾下%system32% 飛越星球 .scr
%system32%\dllcash\taskmgr.exe
%system32%\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\
Microsoft\win1ogon.exe
C:\Documents and Settings\Administrator\ 「開始」選單 \ 程式 \
啟動 \svchost.exe
2 、 修改註冊表 , 添加啟動項 :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
鍵值 : 字串 : " svchost.exe "="C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"
3 、 修改註冊表 , 創建服務 :
服務名稱:WINS (服務名後面有3個空格)
服務描述:WINS為客戶提供系統域名解析服務
啟動方式:自動
4 、 修改螢幕保護檔案,及啟動時間:
HKEY_CURRENT_USER\Control Panel\Desktop
鍵值 : 字串 : " SCRNSAVE.EXE "="%windir%\system32\ 飛越星球 .scr"
HKEY_CURRENT_USER\Control Panel\Desktop\ScreenSaveTimeOut
新: 字元串 : "60"
舊: 字元串: "900"
5 、通過註冊表對“資料夾選項”和其相關設定進行更改
刪除如下項,刪除“資料夾選項”中的“顯示隱藏檔案”選項,實現隱藏
具有隱藏檔案屬性的檔案並鎖定:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
鍵值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\HelpID
鍵值 : 字元串 : "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\HKeyRoot
鍵值 : DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\RegPath
鍵值 : 字元串 : "Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\Text
鍵值 : 字元串 : " 顯示所有檔案和資料夾 "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Explorer\Advanced\Folder\Hidden\SHOWALL\Type
鍵值 : 字元串 : "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\ValueName
鍵值 : 字元串 : "Hidden"
修改如下項 , 隱藏系統檔案和已知檔案的擴展名和 : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
新 : DWORD: 2 (0x2)
舊 : DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
新 : DWORD: 1 (0x1)
舊 : DWORD: 0 (0)
創建如下項禁用 “ 資料夾選項 ”: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer\NoFolderOptions
鍵值: DWORD: 1 (0x1)
6 、 修改txt檔案的檔案關聯,更改為病毒檔案:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command
鍵值 : 字串 : @="C:\Documents and Settings\All Users\Application
Data\Microsoft\win1ogon.exe"
7 、 將任務管理器檔案替換為病毒檔案,使用戶無法使用任務管理器結束病毒進程,同時運行
病毒檔案,是感染機器恢復到被病毒感染的初始狀態,使用戶對病毒的處理前功盡棄。
8 、創建系統提示,在每次開機時彈出用以對用戶進行敲詐勒索。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\system\legalnoticecaption
新建鍵值: 字串: "警告:"
原鍵值: <未設定鍵值> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
policies\system\legalnoticetext
新建鍵值 : 字串 : " 發現您硬碟內曾使用過盜版了的我公司軟體 ,
所以將您部份檔案移到鎖定了的扇區 , 若要解鎖將檔案釋放 , 請電郵 原鍵值: <未設定鍵值>
註: %system32% 是一個可變路徑。病毒通過查詢作業系統來決定當前 windows 資料夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows 。
清除方案
1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )2 、 手工清除請按照行為分析刪除對應檔案,恢復相關係統設定。
(1) 啟動安天木防線的進程管理關閉病毒進程:
win1ogon.exe <路徑:C:\Documents and Settings\All >
Users\ApplicationData\Microsoft\win1ogon.exe>
svchost.exe <路徑:C:\Documents and Settings\Administrator\ >
「開始」選單\程式\啟動\svchost.exe>
(2) 刪除病毒檔案:
%system32%飛越星球.scr
%system32%\dllcash\taskmgr.exe
%system32%\taskmgr.exe
C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe
C:\Documents and Settings\Administrator\「開始」選單\程式\啟動\svchost.exe
(3) 將taskmgr.exe檔案複製到C:\windows\system32目錄下。
(4) 雙擊“敲詐者病毒變種C專用註冊表修復工具.reg”將其內容導入註冊表。
