Win32.Troj.QiaoZhaz.b_病毒数据库

病毒名称(中文): 敲诈者
病毒别名:
威胁级别: ★☆☆☆☆
病毒类型: 木马程序
病毒长度: 401759
影响系统: Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是"敲诈者"病毒的一个新变种，它能覆盖Windows的任务治理器，使得任务治理器无法使用，并能删除用户的文件。

1:拷贝文件
病毒运行后,会把自己拷贝到以下地方:
C:\windows\system32\wins.com
C:\DocumentsandSettings\AllUsers\「开始」菜单\程序\启动\svchost.com
C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\win1ogon.exe
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

往该文件写入警告语言并显示。
C:\DocumentsandSettings\AllUsers\桌面\警告.h

其中以下两处为Windows任务治理器的文件，病毒是直接把任务治理器替换成病毒本身，
使用户无法使用Windows任务治理器
C:\WINDOWS\system32\dllcache\taskmgr.exe
C:\WINDOWS\system32\taskmgr.exe

2:修改注册表:
病毒会修改以下注册表值:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Hidden->0x02

HKCR\txtfile\shell\open\command\(Default)
"C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\win1ogon.exe"

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideFileExt->0x01

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions->0x01

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoClose->0x01

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
StartMenuLogOff->0x01

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
NoFind->0x01

删除键值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
使得系统中无法查看隐藏文件，无法关闭与注销系统，无法打开txt文档，严重影响用户的工作。

并添加以下两处注册表值:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticecaption->"警告:"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
legalnoticetext->"发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件"

使得Windows启动时会弹出该信息窗口，给用户造成恐慌。

3:注册服务
病毒会注册一个名为"WINS"的服务，并指向
C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\win1ogon.exe
使病毒能随Windows启动。

4:删除文件
病毒会删除以下文件:
C:\\ProgramFiles\\Tencent\*.*
其它分区的所有文件
但不会删除文件夹，
给用户造成巨大的损失。