Trojan.Win32.Pluder.a

王朝百科·作者佚名 2010-02-19

宽屏版字体: 小|中|大|超大

病毒名称： Trojan.Win32.Pluder.a

中文名称：敲诈者

病毒类型：木马类

文件 MD5： 3021325C84FC224AE10BA814BF9ECE2F

公开范围：完全公开

危害等级：中

文件长度： 196,096 字节

感染系统： windows98及以上版本

开发工具： Borland Delphi 6.0 - 7.0

加壳类型： UPX

命名对照： Symentec[无]

Mcafee[无]

病毒描述：

该病毒属木马类，病毒盗用windows xp下应用程序“磁盘清理”图标，病毒运行后弹出对话框，要求输入正版序列号，向指定账户汇款等。病毒运行后复制原病毒副本%system%

edplus.exe，病毒在本地磁盘根目录下新建一个文件夹，其属性为系统、隐藏及只读，用于备份文件。同时搜索本地磁盘上的用户常用格式文档（扩展名为：.xls、doc、mdb、ppt、wps、zip、rar），并把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。病毒为了达到敲诈的目的，还会新建两个文本文件，同时在“开始菜单所有程序启动”菜单下建立指向该文本文件的快捷方式。病毒还会尝试结束某些进程，阻止用户清除病毒。

行为分析：

1、病毒为了达到敲诈的目的，会生成两个文本文件，内容分别为：

1)你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写

2) 你必须使用磁盘修复工具拯救找回丢失的资料文件.

3) 但是，你正在使用的不是正版软件，是盗版

4) 你必须拯救修复丢失的资料，并且尽快购买正版的软件，

5) 点击左下角[开始], 点击 [所有程序], 点击 [附件], 点击 [修复硬盘资料]

6) 为了确保你能尽快修复全部资料，必须在两小时内迅速办理,

7) 按以上方法做的，一定能修复的资料包括:[被隐藏的文件名称]。

网络下载过程中受电磁信号干扰，数据中有错误

不能打开, 请关闭

2、病毒装自身复制到%system%下，并新建病毒文件：

%system%

edplus.exe

%tmp%Sunhay.txt

%All Users%「开始」菜单程序桌面

3、添加注册表启动项，达到随机启动的目的：

HKEY_LOCAL_MACHINE\SoftwareMicrosoftWindows

CurrentVersionExplorer

键值：字串：”Shell Folders”=”%Documents and Settings%

All Users开始菜单程序启动startup”

HKEY_LOCAL_MACHINE\SoftwareMicrosoftWindows

CurrentVersionExplorer

键值：字串：”Shell Folders”=” C:Documents and Settings

All Users「开始」菜单程序桌面desktop”

4、病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档（扩展名为：.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。

5、病毒还会结束除以下进程列表外的所有进程：

EXPLORER.EXE

SYSTRAY.EXE

SNMPTRAP.EXE

HCOUNT.EXE

IRMON.EXE

SCARDSVR.EXE

MSTASK.EXE

SPOOL32.EXE

KERNEL32.DLL

DDHELP.EXE

SMSS.EXE

SOUNDMAN.EXE

STIMON.EXE

STMGR.EXE

TASKMON.EXE

WMIEXE.EXE

WINMGMT.EXE

CSRSS.EXE

CTFMON.EXE

LSASS.EXE

SERVICES.EXE

SPOOLSV.EXE

SVCHOST.EXE

NSUM.EXE

SYSTEM

TLIST.EXE

INTERNAT.EXE

SYSTEM IDLE PROCESS

WINLOGON.EXE

WMIPRVSE.EXE

CISVC.EXE

NSPMON.EXE

SFMPRINT.EXE

MSIEXEC.EXE

UTILMAN.EXE

GROVEL.EXE

RSFSA.EXE

RSENG.EXE

RSVP.EXE

SMLOGSVC.EXE

NETDDE.EXE

MNMSRVC.EXE

DMADMIN.EXE

FAXSVC.EXE

MSDTC.EXE

CLIPSRV.EXE

DFSSVC.EXE

LSERVER.EXE

LOCATOR.EXE

RSSUB.EXE

LLSSRV.EXE

NTFRS.EXE

WINS.EXE

UPS.EXE

ISMSERV.EXE

DNS.EXE

TERMSRV.EXE

TFTPD.EXE

TLNTSVR.EXE

INETINFO.EXE

REGSVC.EXE

TASKMGR.EXE

DLLHOST.EXE

MDM.EXE

RPCSS.EXE

SNMP.EXE

STISVC.EXE

MAPISP32.EXE

MMC.EXE

SNDVOL32.EXE

MSMSGS.EXE

NVSVC32.EXE

注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:WinntSystem32，windows95/98/me中默认的安装路径是C:WindowsSystem，windowsXP中默认的安装路径是C:WindowsSystem32。

--------------------------------------------------------------------------------

清除方案：

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 进入安全模式下，结束该病毒进。

(2) 将名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”的文件夹内的文件全部复制出。

(3) 删除原病毒副本、相关文件夹、病毒释放的文本文档及%system%

edplus.exe

(4) 删除注册表以下键值：

HKEY_LOCAL_MACHINE\SoftwareMicrosoftWindows

CurrentVersionExplorer

键值：字串：”Shell Folders”=”%Documents and Settings%

All Users开始菜单程序启动startup”

HKEY_LOCAL_MACHINE\SoftwareMicrosoftWindows

CurrentVersionExplorer

键值：字串：”Shell Folders”=” C:Documents and SettingsAll Users「开始」菜单程序桌面desktop”