Trojan.Win32.Autoit.ab
病毒标签:
病毒名称: Trojan.Win32.Autoit.ab
中文名称: 敲诈者变种
病毒类型: 木马
文件 MD5: 65A73CDF15F4507D0AB2FE7C54B0559B
公开范围: 完全公开
危害等级: 5
文件长度: 401,759 字节
感染系统: windows2000以上版本
加壳类型: 第一层壳:UPX 0.89.6 - 1.02 / 1.05 - 1.24 ->
Markus &Laszlo
第二层壳:nSPack 3.1 -> North Star/Liu Xing Ping
病毒描述:
该病毒运行后,衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该变种替换“任务管理器”文件,删除系统配置文件(msconfig.exe),隐藏“查找”、“关机”、“运行”,等项。该病毒主要行为为删除用户扩展分区的所有文件,并向用户进行勒索。表现形式为用户登陆前弹出文本勒索用户,进入系统后弹出对话框,恐吓用户,如果用户点击“确定”,则重启电脑。病毒还会在系统目录下留下多个病毒文件。给用户带来极大不便,行为极其恶劣。
行为分析:
1、衍生下列副本与文件:
%WinDir%\_default
%System32%wpa.dbl
%System32%wins.com
%System32%askmgr.exe 393KB
%documents and settingsall users「开始」菜单程序启动svchost.com
%Documents and Settings%All UsersApplication DataMicrosoft
win1ogon.exe
2、修改注册表键值:
HKEY_LOCAL_MACHINESOFTWAREClassesApplicationswin1ogon.exeshell
opencommand@
Value: String: "%Documents and Settings%All UsersApplication Data
Microsoftwin1ogon.exe"
Old: String: ""%1" %*"
HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand@
New:String:"C:DocumentsandSettingsAllUsersApplication DataMicrosoftwin1ogon.exe"
Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes
%SystemRoot%system32NOTEPAD.EXE %1.
Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
systemlegalnoticecaption
New: String: "警告:"
Old:(valuenotset)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
systemlegalnoticetext
New: String: " 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件
移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn
购买相应的软件"
Old: String: ""
3、新建注册表键值:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWINS Description
Value: String: "WINS为客户提供系统域名解析服务"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWINS DisplayName
Value: String: "WINS "
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWINS ImagePath
Value: String: "%windows%system32wins.com"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
svchost.exe
Value: String: "%Documents and Settings%All UsersApplication Data
Microsoftwin1ogon.exe"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerNoClose
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerNoFind
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerNoRun
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies
ExplorerStartMenuLogOff
Value: DWORD: 1 (0x1)
4、删除注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLCheckedValue
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLDefaultValue
Value: DWORD: 2 (0x2)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLHelpID
Value: String: "shell.hlp#51105"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLHKeyRoot
Value: DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLRegPath
Value: String: "SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLText
Value: String: "@shell32.dll,-30500"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLType
Value: String: "radio"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer
AdvancedFolderHiddenSHOWALLValueName
Value: String: "Hidden"
注:% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
Windows2000/NT中默认的安装路径是C:WinntSystem32,windows95/98/me中默认的
安装路径是C:WindowsSystem,windowsXP中默认的安装路径是C:WindowsSystem32。
清除方案:
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
(1) 用户进入%system32%目录下,找到cmd.exe文件,双击运行。
输入regedit.回车运行。
(2) 删除下列注册表项:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoam
MUICache svchost
Value: String: "%Documents and SettingsAll Users「开始」
菜单程序启动svchost.com"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows
CurrentVersionRunsvchost.exe
Value: String: "%Documents and Settings%All Users
Application DataMicrosoftwin1ogon.exe"
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWINS
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiessystemlegalnoticetext
New: String: " 发现您硬盘内曾使用过盗版了的我公司软件,所以
将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮
liugongs19670519@yahoo.com.cn购买相应的软件"
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorerNoClose
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorerNoFind
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorerNoRun
Value: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
policiesExplorerStartMenuLogOff
Value: DWORD: 1 (0x1)
(3) 修改下列注册表项为原值:
HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand@
New:String:"C:DocumentsandSettingsAllUsersApplicationData
Microsoftwin1ogon.exe"
Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes
%SystemRoot%system32NOTEPAD.EXE %1.
(4) 冷重启电脑到安全模式下。删除下列目录下病毒体:
%documents and settingsall users「开始」菜单程序启动svchost.com
(5) 在“运行”中输入gpedit.msc,依次展开:
“用户配置”=>“管理模板”=>“Windows组件”=>“Windows资源管理器”
双击“从“工具”菜单中删除“文件夹选项”菜单” 选中“已禁用”
(6) 将下列内容保存为.reg文件,双击导入:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL]
"RegPath"="Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced"
"Text"="@shell32.dll,-30500"
"Type"="radio"
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002
"HKeyRoot"=dword:80000001
"HelpID"="shell.hlp#51105"
(7) 打开“文件夹选项”选至下列状态:
(8) 删除病毒衍生文件:
%WinDir%\_default
%System32%askmgr.exe 393KB
%System32%wins.com
%System32%wpa.dbl
%documents and settingsall users「开始」菜单程序启
svchost.com
%Documents and Settings%All
UsersApplicationDataMicrosoftwin1ogon.exe
(9) 对于已删除文件,用户可采用Easyrecover软件恢复数据,或找专业
数据恢复人士恢复数据。