Trojan.Win32.Autoit.aa

病毒名称： Trojan.Win32.Autoit.aa

中文名称： 敲诈者变种

病毒类型： 木马

文件 MD5： B150ECBA5B974C65E67F0DC32082A3A0

公开范围： 完全公开

危害等级： 3

文件长度： 696,189 字节

感染系统： windows2000以上版本

加壳类型： nSPack 3.1 -> North Star/Liu Xing Ping

病毒描述：

该病毒运行后，衍生病毒文件到系统目录下,添加注册表自动运行项以随机引导病毒体。该病毒主要行为为删除用户扩展分区的所有文件，并向用户进行勒索。表现形式为用户登陆前弹出文本勒索用户，进入系统后弹出对话框，恐吓用户，如果用户点击确定，则重启电脑。给用户带来极大不便，行为极其恶劣。

行为分析：

1、衍生下列副本与文件:

%WINDOWS%System321sass.exe"

%Documents and Settings%用户名Application Data\MMC.exe

2、修改注册表键值：

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshell

unascommand@

New: String: "C:WINDOWSSystem321sass.exe"

Old: String: ""%1" %*"

HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand@

New: String: "C:Documents and SettingsantiyApplication Data

Microsoft

win1ogon.exe"

Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

policies

systemlegalnoticecaption

New: String: "严重警告："

Old: (value not set)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies

system

legalnoticetext

New: String: " 您使用了经过反汇编的软件，此行为严重对软件作者侵权！所以部份文件已隐藏在锁定的扇区，如需解锁释放文件，请联系：yibasoftware@yahoo.com.cn

获取相应的解锁软件，否则隐藏的文件将永远尘封起来！即使格式化也于事无补！

Old: String: ""

3、新建注册表键值：

HKEY_LOCAL_MACHINESOFTWAREClasses*shellwindowscommand@

Value: String: "%WINDOWS%System321sass.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

Runsvchost.exe

Value: String: "%Documents and Settings%用户名Application Data

\MMC.exe"

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

Explorer

NoFind

Value: DWORD: 1 (0x1)

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies

Explorer

NoFolderOptions

Value: DWORD: 1 (0x1)

4、删除注册表键值：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvanced

FolderHiddenSHOWALL

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvanced

FolderHiddenSHOWALLCheckedValue Value: DWORD: 1 (0x1)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvanced

FolderHiddenSHOWALLDefaultValue Value: DWORD: 2 (0x2)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvanced

FolderHiddenSHOWALLHelpID

Value: String: "shell.hlp#51105"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvanced

FolderHiddenSHOWALLHKeyRoot

Value: DWORD: 2147483649 (0x80000001)

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

ExplorerAdvanced

FolderHiddenSHOWALLRegPath

Value: String: "SoftwareMicrosoftWindowsCurrentVersionExplorer

Advanced"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

Advanced

FolderHiddenSHOWALLText

Value: String: "@shell32.dll,-30500"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

Advanced

FolderHiddenSHOWALLType

Value: String: "radio"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

Advanced

FolderHiddenSHOWALLValueName Value: String: "Hidden"

5、添加链接：

Documents and Settingsantiy「开始」菜单程序启动MMC.exe链接

Value: "%Documents and Settings%用户名Application DataMicrosoftwin1ogon.exe"

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 点击运行，输入msconfig.exe。在启动项中，去掉两个以MMC为命名前缀的启动项。

(2) 重启电脑

(3) 在“运行”中输入gpedit.msc,依次展开：

“用户配置”=>“管理模板”=>“Windows组件”=>“Windows资源管理器”双击

“从“工具”菜单中删除“文件夹选项”菜单” 选中“已禁用”

(4) 改下列注册表为原值：

HKEY_LOCAL_MACHINESOFTWAREClassesexefileshell

unascommand@

New: String: "C:WINDOWSSystem321sass.exe"

Old: String: ""%1" %*"

HKEY_LOCAL_MACHINESOFTWAREClassesxtfileshellopencommand@

New: String: "%Documents and Settings%用户名ApplicationData

Microsoftwin1ogon.exe"

Old: Type: REG_EXPAND_SZ Length: 37 (0x25) bytes

%SystemRoot%system32NOTEPAD.EXE %1.

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem

legalnoticetext

New: String: " 您使用了经过反汇编的软件，此行为严重对软件作者侵权！所以部份文件已隐藏在锁定的扇区，如需解锁释放文件，请联系： yibasoftware@yahoo.com.cn

获取相应的解锁软件，否则隐藏的文件将永远尘封起来！即使格式化也于事无补！

Old: String: ""

(5) 将下列内容保存为.reg文件，双击导入：

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

AdvancedFolderHiddenSHOWALL]

"RegPath"="Software\Microsoft\Windows\CurrentVersion\

Explorer\Advanced"

"Text"="@shell32.dll,-30500"

"Type"="radio"

"CheckedValue"=dword:00000001

"ValueName"="Hidden"

"DefaultValue"=dword:00000002

"HKeyRoot"=dword:80000001

"HelpID"="shell.hlp#51105"

(6) 打开“文件夹选项”选至下列状态：

(7) 删除病毒衍生文件：

%WINDOWS%System321sass.exe"

%Documents and Settings%用户名Application Data\MMC.exe

(8) 对于删除文件，用户可采用Easyrecover软件，找专业数据恢复人士或自行恢复。