2006年6月11日,国内首例旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心率先截获。该病毒名为“敲诈者”(Trojan/Agent.bq),病毒可恶意隐藏用户文档,并借修复数据之名向用户索取钱财。江民反病毒中心目前已接到感染该木马不同变种的用户报告。
江民反病毒专家介绍,“敲诈者”木马运行后,在系统目录下将自身复制为redplus.exe,大小200KB左右。建立快捷方式"开始菜单所有程序附件修复硬盘资料",并指向病毒程序。
病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”,同时搜索本地磁盘上的用户常用格式文档(包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar),把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。
病毒为了达到敲诈的目的,还会生成一名为“拯救硬盘.txt”的文本文件,内容如下:
"
1. 你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写
2. 你必须使用磁盘修复工具拯救找回丢失的资料文件
3. 但是,你正在使用的不是正版软件,是盗版
4. 你必须拯救修复丢失的资料,并且尽快购买正版的软件,
5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]
6. 为了确保你能尽快修复全部资料,必须在两小时内迅速办理,
7. 按以上方法做的,一定能修复的资料包括:
[被隐藏的文件名称]
"
病毒同时在“开始菜单所有程序启动”菜单下建立指向“拯救硬盘.txt”的快捷方式,这样每次系统启动,用户都会看到上述文本内容。
如果中毒用户用户按照"拯救磁盘.txt"中描述的步骤,运行病毒文件redplus.exe后,则显示如图所示的敲诈文字,内容大致为要求中毒用户向某指定的工行账户内汇入70元人民币,并向指定的手机号码发送相关短信。
该木马运行时,还会试图结束除几个系统进程外的所有程序,达到终止反病毒软件和病毒分析工具的目的。
江民反病毒专家介绍说,前几个月,国外曾经出现过一系列对用户文档加密后进行敲诈的恶意木马,但在国内没有感染报告。此次被截获的“敲诈者”(Trojan/Agent.bq)可以确定为国内首例旨在敲诈勒索钱财的病毒,该病毒疑为国内作者制造,并专门针对中文用户。
6月15日,继近日国内率先截获首例“敲诈者”病毒后,江民科技反病毒中心宣布成功截获该病毒的两个新变种(TrojanSpy.Agent.br、 TrojanSpy.Agent.bs)。与原病毒不同的是,新变种通过锁定键值表的方法来隐藏用户常用文件,较原先修改文件夹属性隐藏的方式技术上有了改进,加大了中毒用户手工找回被隐藏文件的难度。
江民反病毒专家介绍,敲诈者病毒变种有两个版本,TrojanSpy.Agent.br中毒后显示症状与原病毒基本相同,不过病毒作者在隐藏文件技术上进行了改动,把原先通过属性隐藏文件夹的方法改为锁定注册表隐藏文件,这显然加大了普通用户手工清除病毒的难度。敲诈者另一变种BS中毒后显示为“新曦数据库”软件界面,敲诈手段基本相同,都要求中毒后向某账户打入钱购买破解密码。据反病毒工程师追踪发现,两变种疑系一人所为,前一病毒作者的网名为“俊曦”,除名子相似外,病毒关键特征码也有相同之处。
敲诈者病毒变种运行后,强行修改以下键值:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = 2
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = 0
这样无论用户如何通过文件管理器上“查看——文件夹选项”中的“显示所有文件和文件夹”以及“显示受保护的操作系统文件”这两个功能,都不能将病毒建立的文件备份文件夹显示出来的。
针对病毒修改注册表键值隐藏用户文件的做法,江民反病毒专家认为破解起来并不困难,稍有注册表常识的用户只需运行“regedit”,修改被病毒破坏的注册表为以下各个键值,这样就能显示隐藏文件以及系统文件了然后请定位到一下注册表键值:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"Hidden" = 1
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"HideFileExt" = 0
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"SuperHidden" = 0
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvanced]
"ShowSuperHidden" = 1
据悉,近日江民科技客户服务中心已接到数十例用户感染该病毒的报告,有迹象显示该病毒有进一步传播的可能性,江民反病毒专家提醒广大用户务必小心提防。针对该病毒,江民杀毒软件KV2006(单机版/网络版)都已紧急升级,用户只需升级杀毒软件到最新病毒库即可有效防范。此外,专家提醒用户,如不慎受到该病毒感染,千万不要给黑客汇款购买所谓的密码,以免助长黑客的嚣张气焰,受到更大的损害。更多有关该病毒资料,可登陆江民反病毒资讯网:http://www.jiangmin.com查询。
