Trojan.Win32.QiaoZhaz.d
病毒名称: Trojan.Win32.QiaoZhaz.d
病毒类型: 木马
文件 MD5: EEDDAD7A79CD000B5C13FA6DF0C29AAF
公开范围: 完全公开
危害等级: 5
文件长度: 401,759 字节
感染系统: Win9X以上系统
开发工具: Microsoft Visual C++ 6.0
加壳类型 : UPX 0.89.6 - 1.02 / 1.05 - 1.22
病毒描述:
该病毒属木马类,病毒运行后弹出对话框,内容为“发现您硬盘内曾使用过盗版了的我公司
软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件”。在 2000 系统下点击确定后不自动注销。
XP 系统下点击确定后系统会自动注销,由于病毒加载了启动项,所以开机病毒会自动运行,会继
续弹出对话框,反复循环。病毒衍生文件到系统目录下,在启动文件夹内衍生病毒文件,并重命名为 svchost.exe 。创建服务,并以服务的方式达到随机启动的目的。去除“文件夹选项”,使用
户无法选择“显示所有隐藏文件”和不能去掉“隐藏受保护的系统文件”“隐藏已知文件类型的扩展名”。去除开始菜单中的“搜索”、“运行”项和“关机”项,使用户不能使用搜索、 command 命令和关机、注销。修改 txt 文件关联,当用户试图运行 txt 文件时,则会激活病毒,同样的办法修改任务管理器关联,无论用户怎样打开任务管理器,都会激活病毒。病毒把屏保时间修改为
60 秒,在 %system32% 文件夹下生成病毒屏保文件,当用户 60 秒不操作计算机时,系统会自动
运行病毒。该病毒利用多种方法来保护自身。删除非系统盘外的所有文件,并在每个盘符下建立一个名为:警告 .h 的文件。该病毒的行为极其恶劣,不停的弹出对话框,对用户进行敲诈勒索。
行为分析:
1 、 病毒运行后弹出对话框,内容为“发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件”。向用户进行敲诈勒索。在 2000 系统下点击确定后不自动注销。 XP 系统下点击确定后系统会自动注销,由于病毒加载了启动项,所以开机病毒会自动运行,会继续弹出对话框,反复循环。
2 、 衍生病毒文件:
%Documents and Settings%All UsersApplication DataMicrosoftwin1ogon.exe
%Documents and Settings%All Users 「开始」菜单 程序 启动 svchost.com
%Documents and Settings%All Users 桌面 警告 .h
%Documents and Settings%commanderLocal SettingsTempE_4krnln.fnr %Documents and Settings%commanderNTUSER.DAT.LOG %WINDIR%DebugUserModeuserenv.log
%WINDIR%setupapi.log
%system32%CatRoot2dberr.txt
%system32%configdefault.LOG
%system32%configsoftware.LOG
%system32%configsystem.LOG
%system32%dllcacheaskmgr.exe
%system32%askmgr.exe
%system32%wins.com
%system32% 飞越星球 .scr
3 、 创建服务,并以服务的方式达到随机启动的目的:
显示名称: WINS
描述: WINS 为客户提供系统域名解析服务
可执行文件的路径: C:windowssystem32wins.com
启动类型:自动
4 、 去除“文件夹选项”,使用户无法选择“显示所有隐藏文件”和不能去掉“隐藏受保护的
系统文件”“隐藏已知文件类型的扩展名”:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvancedHidden
新建键值: DWORD: 2 (0x2)
原键值: DWORD: 1 (0x1)
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvancedHideFileExt
新建键值: DWORD: 1 (0x1)
原键值: DWORD: 0 (0)
5 、 去除开始菜单中的“搜索”、“运行”项和“关机”项,使用户不能使用搜索、 command
命令和关机、注销:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
ExplorerNoFolderOptions
键值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerNoClose
键值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerNoFind
键值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerNoRun
键值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerStartMenuLogOff
键值 : DWORD: 1 (0x1)
6 、 修改 txt 文件关联,当用户试图运行 txt 文件时,则会激活病毒,同样的办法修改任务
管理器关联,无论用户怎样打开任务管理器,都会激活病毒:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies
ExplorerNoDriveTypeAutoRun
新建键值 : DWORD: 0 (0)
旧 : DWORD: 145 (0x91)
HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand@
新建键值 :"C:Documents and SettingsAll UsersApplication Data
Microsoftwin1ogon.exe"
7 、 删除的注册表项:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLCheckedValue
键值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLDefaultValue
键值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLHelpID
键值 : 字符串 : "shell.hlp#51105"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLHKeyRoot
键值 : DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLRegPath
键值 : 字符串 : "SoftwareMicrosoftWindowsCurrentVersion
ExplorerAdvanced"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLText
键值 : 字符串 : "@shell32.dll,-30500"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLType
键值 : 字符串 : "radio"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALLValueName
键值 : 字符串 : "Hidden"
8 、 病毒把屏保时间修改为 60 秒,在 %system32% 文件夹下生成病毒屏保文件,当用户 60 秒
不操作计算机时,系统会自动运行病毒:
HKEY_CURRENT_USERControl PanelDesktop
新建键值 : 字串 : "ScreenSaveTimeOut"="60"
原键值 : 字串 : "ScreenSaveTimeOut"="600"
HKEY_CURRENT_USERControl PanelDesktop
新建键值 : 字串 : "SCRNSAVE.EXE"="C:WINDOWSsystem32 飞越星球 .scr"
原键值 : 字串 : "SCRNSAVE.EXE"="C:WINDOWSSystem32logon.scr"
9 、 删除非系统盘外的所有文件,并在每个盘符下建立一个名为:警告 .h 的文件,内容为:“发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongs19670519@yahoo.com.cn 购买相应的软件。”
注: %system32% 是一个可变路径。病毒通过查询操作系统来决定当前 system32 文件夹的位置。 Windows2000/NT 中默认的安装路径是 C:Winntsystem32 , windows95/98/me/xp 中默认的安装路径是 C:Windowssystem32 。
--------------------------------------------------------------------------------
清除方案:
1 、 使用安天木马防线可彻底清除此病毒 ( 推荐 )
2 、 手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 使用 安天木马防线 “进程管理”关闭病毒进程
win1ogon.exe < 路径 : C:Documents and SettingsAll Users
Application DataMicrosoftwin1ogon.exe>
svchost.exe < 路径 : C:Documents and SettingsAdministrator
「开始」菜单 程序 启动 svchost.exe>
(2) 删除病毒文件:
%Documents and Settings%All UsersApplication DataMicrosoftwin1ogon.exe
%Documents and Settings%All Users 「开始」菜单 程序 启动 svchost.com
%Documents and Settings%All Users 桌面 警告 .h
%Documents and Settings%commanderLocal SettingsTempE_4krnln.fnr
%Documents and Settings%commanderNTUSER.DAT.LOG
%WINDIR%DebugUserModeuserenv.log
%WINDIR%setupapi.log
%system32%CatRoot2dberr.txt
%system32%configdefault.LOG
%system32%configsoftware.LOG
%system32%configsystem.LOG
%system32%askmgr.exe
%system32%wins.com
%system32% 飞越星球 .scr
(3) www.antiy.com/download/敲诈者病毒变种D专用修复工具.rar 下载敲诈者病毒变种D专用注册表修复工具。
(4) 双击“敲诈者病毒变种D专用注册表修复工具.reg”将其内容导入注册表。
(5) 将taskmgr.exe文件复制到C:windowssystem32目录下。