网络之大无奇不有,这不最近有个程序爱好者利用自已所拥有的编程技术,编写出了诈者(Tro-jan_Agent.BQ)的木马病毒曾让许多计算机用户陷入窘境,让无数受害者为其提供一定数额的金钱,然后返送注册码到指定受害人的计算机文本中,以获其利。但就在他得利的同时,也有不少受害者没有将金钱打出,结果造成了不可挽回的损失。
�z-b {�Y;q6|0
IXPUB技术博客5E+h1y
d f.N.~
事件发生
�v"_7G�K�j6q�R-S0
去年,曾有人在[中国童鞋网]论坛中发贴悬赏10万元现金,并在贴中提供了恶意软件袭击者欧阳俊曦的手机、银行账号等作为线索,追查敲诈者病毒散播者[欧阳俊曦]下落。虽然目前[欧阳俊曦]已被法院判刑,但他自行编写的该Tro-jan_Agent.BQ敲诈者木马病毒却让无数网民留下了不小的记忆。2006年6月间[欧阳俊曦]利用其个人网站“新曦网”传播其编写的redplus.exe程序,该程序病毒一但感染计算机,将会使机中以中文名命名的xls、doc、mdb、ppt和wps的资料隐藏,受害计算机无法正常运行。其程序中包含语言如:硬盘资料丢失了,必须修复丢失资料,则需汇款人民币49至99元不等的金额到XXX银行账户,以获取正版软件序列号。此程序在2006年6月7日到23日运行16天的时间内共获脏款人民币7061.05元,成功索取款项95笔。23号该程序被从网站中删除,同年7月3日[欧阳俊曦]向公安机关投案。
�I1q-q�r�A�R�c�^0
�?.E�}�Y�o�F.U�[�f2T�s0
病毒描述
"l�E.A�g�i2m&C*W%m0
病毒名称:Trojan/Agent.bq(江民定义);
1\�o�b�h�B�m'A6~�Y!_0
Trojan.Win32.Pluder.a(卡巴斯基定义)
IXPUB技术博客�D&Y7K�c)e�D*C�Y$S
中文名称:敲诈者
P�J�_
]
S2M0
病毒类型:木马
IXPUB技术博客#p�L�D"t'?�g1}�A'`
影响平台:Win 9X/ME/NT/2000/XP/2003
�{8}%K:z J(s7_-]0
2J#i;m.F�E�y�|*g�d0
回顾病毒行为特征
IXPUB技术博客�d�[
P q"M%b$G�c4L
该木马病毒驻入用户计算机后,首先将自行建立一个名为控制面板(21EC2020-3AEA-1069-A2DD-08002B30309D)的备份文件夹,并改写属性为只读隐藏式,同时搜索受害计算机中包含xls、doc、mdb、ppt、wps、zip、rar后缀格式的文档,一但找寻到此类文件,病毒程序将自动将该些文件移至上述备份文件夹中,造成丢失假象。并生成[拯救硬盘.txt]文件文件内容如下:
/L�U U�i3m0I6T"G)o
J�J0
�Y�a*P�P'z7D)v0
1、你的硬盘损坏了,是因为手机的强电磁流影响了硬盘的正常读写。
IXPUB技术博客)r�B�H5i�T*]
2、你必须使用磁盘修复工具来拯救丢失的资料文件。
IXPUB技术博客2l,n `#J�O8n1`
3、但是,你正在使用的不是正版软件,是法律所不允许的盗版软件。
IXPUB技术博客�H
z-E9i)H)U�~+K2a5I
4、你必须修复丢失的资料,并且尽快购买正版的软件。
IXPUB技术博客�?.I/Y�K�\
5、单击“开始→所有程序→附件→修复硬盘资料”,开始修复硬盘资料。
4Y�V�a9R2N�l�C0
6、为了确保你能尽快修复全部资料,请在两小时内不要读写硬盘。
IXPUB技术博客�S�W3D3q$m'z*A
7、可以修复的资料包括:**********(隐藏的文档名称)。
IXPUB技术博客+a2t�b�C8i�i�t
IXPUB技术博客�H�q�X�{;P4^�};Y
当用户依照文本提示第5条打开“恢复硬盘资料”对话框时,弹出“修复硬盘资料”窗口,程序则要求用户进行转账。而该病毒运行后,试图结束除系统进程外的所有程序,包含反病毒软件和逆向分析工具,从而达到病毒实现自身保护的目的。
r5W
L1s�Z�K/m�y�R
B0
IXPUB技术博客�@�i�`�l�J2I#y
病毒清理之法
8G�D.M6j�?9p�v6C0
如果用户盲目的用数据恢复类软件进行恢复,其结果是无法找回,因为该病毒程序只是将所需类型的文档进行加密操作,而非执行删除功能。其正常的清理方法如下:
IXPUB技术博客�e�]�K$|�v
�Z�k�V�c�^&H�P�u!a�K'a0
一、依次打开:我的电脑-工具-文件夹选项,在查看下选取显示所有文件和文件夹,并将隐藏受保护的操作系统文件(推荐)前面的色去掉,确定退出后将显示硬盘所有隐藏文件和系统受保护文件,此时在硬盘分区下用户可以看到一个具备只读属性的隐藏文件夹:控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D},只要将该文件夹改成其他名称如:abc,改完后双击就可以找到所有丢失的文件了,但目前这些文件都具备隐藏式系统属性,还需用户进入到DOS操作界面,在各分区下输入命令ttrib –r –s –h *.*/s 一次性的改回各区所有的文件属性,这样硬盘内被该病毒加密的资料将回显。
IXPUB技术博客5B�P*V&o"v�Y9}
IXPUB技术博客,Z�r�Z$a�R�u$z
D;P+^
二、可以进入江民敲诈者病毒专杀页面下载专杀工具,对其进行清理修复,地址为:
http://www.jiangmin.com/download/jmfilerecover.exe。
IXPUB技术博客2w#G!}�]�}�O
2F�C+^�J�K�}0
编者按:在病毒飞行的今天、明天,都会有越来越多的新式病毒出现,其隐匿过程也将会越来越复杂,用户如果在没有完全更新杀软与第三方安全软件的情况下,要想抵制病毒强大的攻势,将会很难。网民只有在面对网络时,不要因好奇心理随意点击或下载陌生资源,时时提高警觉,保证小心行网的原则,才能降低中毒的机率。
gdtiger
