Win32.Hack.SnuHay.a

病毒名称(中文):

病毒别名:

威胁级别:

★★☆☆☆

病毒类型:

黑客程序

病毒长度:

207872

影响系统:

Win9xWinMeWinNTWin2000WinXPWin2003

病毒行为:

这是一个隐藏用户文档的程序，它目的是向用户索要金钱，并已经具有敲诈行为。

1：病毒首先枚举系统所有进程，

并中止掉除下面进程以外的所有进程。

EXPLORER.EXE

SYSTRAY.EXE

HCOUNT.EXE

IRMON.EXE

MSTASK.EXE

SPOOL32.EXE

KERNEL32.DLL

DDHELP.EXE

STIMON.EXE

STMGR.EXE

TASKMON.EXE

WMIEXE.EXE

WINMGMT.EXE

CSRSS.EXE

CTFMON.EXE

LSASS.EXE

SERVICES.EXE

SMSS.EXE

SOUNDMAN.EXE

SPOOLSV.EXE

SVCHOST.EXE

SYSTEM

SYSTEMIDLEPROCESS

[SYSTEMPROCESS]

WINLOGON.EXE

WMIPRVSE.EXE

TLIST.EXE

INTERNAT.EXE

NSUM.EXE

NSPMON.EXE

SFMPRINT.EXE

MSIEXEC.EXE

UTILMAN.EXE

SNMPTRAP.EXE

SCARDSVR.EXE

GROVEL.EXE

RSFSA.EXE

RSENG.EXE

SMLOGSVC.EXE

NETDDE.EXE

RSVP.EXE

SMLOGSVC.EXE

NETDDE.EXE

MNMSRVC.EXE

DMADMIN.EXE

CISVC.EXE

FAXSVC.EXE

MSDTC.EXE

CLIPSRV.EXE

DFSSVC.EXE

LSERVER.EXE

LOCATOR.EXE

LOCATOR.EXE

RSSUB.EXE

LLSSRV.EXE

NTFRS.EXE

WINS.EXE

UPS.EXE

ISMSERV.EXE

DNS.EXE

TERMSRV.EXE

TFTPD.EXE

TLNTSVR.EXE

INETINFO.EXE

REGSVC.EXE

TASKMGR.EXE

DLLHOST.EXE

MDM.EXE

RPCSS.EXE

SNMP.EXE

STISVC.EXE

MAPISP32.EXE

MMC.EXE

SNDVOL32.EXE

MSMSGS.EXE

NVSVC32.EXE

NWIZ.EXE

PSTORES.EXE

TICKET.EXE

TCPSVCS.EXE

OSA.EXE

IEXPLORE.EXE

MSGSRV32.EXE

MMTASK.TSK

MPREXE.EXE

KB891711.EXE

这使得系统中常见的杀毒软件，防火墙软件基本上失效。

2：寻找系统中文档文件，移动到磁盘的根目录下

"控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}"文件夹里面，

并把该文件夹设为隐藏与系统属性。

文档文件是扩展名为xls,wps,rar,zip,mdb,doc,ppt的文件。

3：在Windows的临时目录里面生成"拯救硬盘.txt"文件，并写入以下内容。

1).你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写

2).你必须使用磁盘修复工具拯救找回丢失的资料文件

3).但是，你正在使用的不是正版软件，是盗版

4).你必须拯救修复丢失的资料，并且尽快购买正版的软件，

5).点击左下角[开始],点击[所有程序],点击[附件],点击[修复硬盘资料]

6).为了确保你能尽快修复全部资料，必须在两小时内迅速办理,

7).按以上方法做的，一定能修复的资料包括:

*****(被移动了的文件)

4：在C:\DocumentsandSettings\[当前用户名]\开始菜单\程序\启动建一个指向拯救硬盘.txt的快捷方式，使每次系统启动都能看到该信息。

并在C:\DocumentsandSettings\[当前用户名]\开始菜单\程序\附件下面建一个"修复硬盘资料.url"的文件，指向一网站。

5：当程序运行时发现自己的名字为"RedPlus.exe"，就会弹出输入注册码的窗口，

要求用户输入注册码修复硬盘上的资料。

6：此网站重新写了一个名为"redplus.exe"的软件，用于显示被该病毒移动后的文件，

它枚举所有文件夹，若发现文件夹的开头是"{"的话，则:

A、

使用attrib.exe-s-r-h/s/d

命令使文件夹与文件文件系统，只读，隐藏属性去掉。

B、更改注册表

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

SuperHidden->0

HideFileExt->0

ShowSuperHidden->1

使系统能看到隐藏文件。

C、打开此文件夹让用户看到。

• ·Worm.NaTaLiA
• ·Win32.Troj.Rootkit.k
• ·Win32.Troj.Lisa.a
• ·Win32.Hack.Eterok.c
• ·Win32.Troj.Delf
• ·Win32.Troj.PswWow.vd
• ·JS.Yamanner.a
• ·Win32.Hack.Huigezi.jt
• ·Win32.Troj.Banker.k
• ·Win32.Angel.a