Trojan.Win32.QiaoZhaz.d分析.docVIP

　　Trojan.Win32.QiaoZhaz.d分析～教育资源库 病毒标签： 　　病毒名称： Trojan.D5： EEDDAD7A79CD000B5C13FA6DF0C29AAF 　　公开范围： 完全公开 　　危害等级： 5 　　文件长度： 401,759 字节 　　感染系统： icrosoft Visual C++ 6.0 　　加壳类型 : UPX 0.89.6 - 1.02 / 1.05 - 1.22 病毒描述： 　　该病毒属木马类，病毒运行后弹出对话框，内容为发现您硬盘内曾使用过盗版了的我公司 　　软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongahoo.. 购买相应的软件。在 2000 系统下点击确定后不自动注销。 　　XP 系统下点击确定后系统会自动注销，由于病毒加载了启动项，所以开机病毒会自动运行，会继 　　续弹出对话框，反复循环。病毒衍生文件到系统目录下，在启动文件夹内衍生病毒文件，并重命名为 svchost.exe 。创建服务，并以服务的方式达到随机启动的目的。去除文件夹选项，使用 　　户无法选择显示所有隐藏文件和不能去掉隐藏受保护的系统文件隐藏已知文件类型的扩展名。去除开始菜单中的搜索、运行项和关机项，使用户不能使用搜索、 mand 命令和关机、注销。修改 txt 文件关联，当用户试图运行 txt 文件时，则会激活病毒，同样的办法修改任务管理器关联，无论用户怎样打开任务管理器，都会激活病毒。病毒把屏保时间修改为 　　60 秒，在 %system32% 文件夹下生成病毒屏保文件，当用户 60 秒不操作计算机时，系统会自动 　　运行病毒。该病毒利用多种方法来保护自身。删除非系统盘外的所有文件，并在每个盘符下建立一个名为：警告 .h 的文件。该病毒的行为极其恶劣，不停的弹出对话框，对用户进行敲诈勒索。 行为分析： 　　1 、 病毒运行后弹出对话框，内容为发现您硬盘内曾使用过盗版了的我公司软件 , 所以将您部份文件移到锁定了的扇区 , 若要解锁将文件释放 , 请电邮 liugongahoo.. 购买相应的软件。向用户进行敲诈勒索。在 2000 系统下点击确定后不自动注销。 XP 系统下点击确定后系统会自动注销，由于病毒加载了启动项，所以开机病毒会自动运行，会继续弹出对话框，反复循环。 　　2 、 衍生病毒文件： 　　%Documents and Settings%All UsersApplication DataMicrosoftents and Settings%All Users 「开始」菜单 程序 启动 svchost. 　　%Documents and Settings%All Users 桌面 警告 .h 　　%Documents and Settings%manderLocal SettingsTempE_4krnln.fnr %Documents and Settings%manderNTUSER.DAT.LOG %odeuserenv.log 　　%32%CatRoot2dberr.txt 　　%system32%configdefault.LOG 　　%system32%configsoft32%configsystem.LOG 　　%system32%dllcachetaskmgr.exe 　　%system32%taskmgr.exe 　　%system32%32% 飞越星球 .scr 　　3 、 创建服务，并以服务的方式达到随机启动的目的： 　　显示名称： WINS 　　描述： WINS 为客户提供系统域名解析服务 　　可执行文件的路径： C:32icrosoftWindoicrosoftWindowsCurrentVersion 　　ExplorerAdvancedHideFileExt 　　新建键值： DWORD: 1 123下一页 友情提醒：，特别！(0x1) 　　原键值： Dicrosofte 　　键值 : 字符串 : Hidden 　　8 、 病毒把屏保时间修改为 60 秒，在 %system32% 文件夹下生成病毒屏保文件，当用户 60 秒 　　不操作计算机时，系统会自动运行病毒： 　　HKEY_CURRENT_USERControl PanelDesktop 　　新建键值 : 字串 : ScreenSaveTimeOut=60 　　原键值 : 字串 : ScreenSaveTimeOut=600q 上一页123下一页 友情提醒：，特别！uot; 　　HKEY_CURRENT_USERControl PanelDesktop 　　新建键值 :