敲诈者简介_敲诈者个人资料_敲诈者微博_百科网
A-A+

敲诈者简介_敲诈者个人资料_敲诈者微博

2016-11-27 23:39:43 科学百科 阅读 2 次

病毒名称:敲诈者/敲诈者 编辑


英文名称:Win32.Hack.SnuHay.a
病毒类型:黑客程序
影响系统:Win 9x/ME/ 2000/NT,Win XP,Win 2003


它能覆盖Windows的任务管理器,使得任务管理器无法使用,并能删除用户的文件。

 

危害/敲诈者 编辑


1:拷贝文件
病毒运行后,会把自己拷贝到以下地方:
C:windowssystem32wins.com
C:Documents and SettingsAll Users「开始」菜单程序启动svchost.com
C:Documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe
C:WINDOWSsystem32dllcachetaskmgr.exe
C:WINDOWSsystem32taskmgr.exe

往该文件写入警告语言并显示。
C:Documents and SettingsAll Users桌面警告.h

其中以下两处为Windows任务管理器的文件,病毒是直接把任务管理器替换成病毒本身,
使用户无法使用Windows任务管理器
C:WINDOWSsystem32dllcachetaskmgr.exe
C:WINDOWSsystem32taskmgr.exe

2:修改注册表:
病毒会修改以下注册表值:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
Hidden -> 0x02

HKCRtxtfileshellopencommand(Default)
"C:Documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe"

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced
HideFileExt -> 0x01

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
NoFolderOptions -> 0x01

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
NoClose -> 0x01

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
StartMenuLogOff -> 0x01

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer
NoFind -> 0x01

删除键值
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
使得系统中无法查看隐藏文件,无法关闭与注销系统,无法打开txt文档,严重影响用户的工作。

并添加以下两处注册表值:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
legalnoticecaption -> "警告:"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem
legalnoticetext ->" 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,[email protected]"

使得Windows启动时会弹出该信息窗口,给用户造成恐慌。



3:注册服务
病毒会注册一个名为"WINS"的服务,并指向
C:Documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe
使病毒能随Windows启动。

4:删除文件
病毒会删除以下文件:
C:\Program Files\Tencent*.*
其它分区的所有文件
但不会删除文件夹,
给用户造成巨大的损失。