2007-02-25 12:54

病毒名称：硬盘敲诈者　金山：Win32.Troj.QiaoZhaz.b.401759 卡巴：挂 病毒大小：401,759 字节 加壳方式： UPX、 FLYSFX、 NSPACK、 PE_PATCH（四重壳） 指纹效验： SHA-160     : 17098095217C474FDB49496941A8109914CF86B9 MD5         : 74E76F43F567B32EF30C06BC7EC5710F RIPEMD-160  : 8531A33DDBE67D3FCBDC43B804237F0EC3221B97 CRC-32      : 26ABE71B 测试平台：win2000PROSP4 + VM 病毒分析： 病毒运行后释放自身到C:\Documents and Settings\All Users\Application Data\Microsoft\下，命名为win1ogon.exe，通过分析病毒还会释放wins.com、飞越星球.scr到C:\windows\system32下，由于测试的是2000平台，没有存在目录，所以病毒无法释放这两个文件，可见病毒没有用环境变量来获取系统目录，有一点ｂｕｇ，哈哈。 病毒会将自身添加开始菜单和注册表常规启动项中，实现自启动；删除注册表键值达到删除文件夹选项的目的；删除注册表键值达到禁用开始菜单一系列命令的目的，被禁用的项目有：关闭计算机、运行、搜索等；删除非Ｃ盘外一切分区的各种文件，不删除文件目录，待文件删除后拷贝自身到该分区中重命名为svch0st.exe，增加autorun.inf文件，设置两个文件为隐藏属性，生成警告.h文件向计算机患者勒索RMB，但是由于病毒修改了txt的文件关联，使之无法查看，通过UE看到“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件”信息；通过分析：病毒修改注册表达到修改屏幕保护时间为1分钟，然后运行病毒的屏蔽程序飞越星球.scr，注册表新建wins相关键值，添加系统服务。 注册表分析： 删除文件夹选项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ 此项包括所有键值被删除导致文件夹选项消失 修改文件关联： HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@字符串: "C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\win1ogon.exe" 曾经旧值为：%systemroot%\system32\notepad.exe 导致txt文本文件无法正确打开 增加警告提示框： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticecaption 字符串: "警告:" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticetext 字符串: " 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件" 修改默认屏蔽和屏蔽等待时间：（系统原因未实现） HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Control Panel\Desktop\ScreenSaveTimeOut 新: 字符串: "60" 旧: 字符串: "900" HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Control Panel\Desktop\SCRNSAVE.EXE 新: 字符串: "C:\WINDOWS\system32\飞越星球.scr" 开始菜单相关： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose　　　　　　　　　　　　　　　　键值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind 键值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRun 键值: DWORD: 1 (0x1) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\StartMenuLogOff 键值: DWORD: 1 (0x1) 依次取消关机、查找、运行、开始菜单的微软签名 病毒启动项： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe 字符串: "C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe" 服务启动项： HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS \ 服务名称：wins 服务描述：WINS为客户提供系统域名解析服务 服务隶属于：LocalSystem 服务映像：C:\windows\system32\wins.com 开启盘符自动播放： HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun DWORD: 0 (0) Autorun文件 [AutoRun] open=SVCH0ST.EXE shellexecute=SVCH0ST.EXE shell\Auto\command=SVCH0ST.EXE 解决方法： 用数据恢复程序恢复除C盘的文件，把注册表键值恢复从前，删除病毒释放文件。 原创文章，转载请注明文章作者：孤单每一天 文章地址：http://hi.baidu.com/renlangliu/blog/item/b649a0decabd3058ccbf1ae4.html 图片见博客，样本如下：

啊 LZ辛苦了谢谢

这贴要收集



猴子夜游到此