病毒名称(中文):
病毒别名:
威胁级别:
★★☆☆☆
病毒类型:
黑客程序
病毒长度:
207872
影响系统:
Win9xWinMeWinNTWin2000WinXPWin2003
病毒行为:
这是一个隐藏用户文档的程序,它目的是向用户索要金钱,并已经具有敲诈行为。
1:病毒首先枚举系统所有进程,
并中止掉除下面进程以外的所有进程。
EXPLORER.EXE
SYSTRAY.EXE
HCOUNT.EXE
IRMON.EXE
MSTASK.EXE
SPOOL32.EXE
KERNEL32.DLL
DDHELP.EXE
STIMON.EXE
STMGR.EXE
TASKMON.EXE
WMIEXE.EXE
WINMGMT.EXE
CSRSS.EXE
CTFMON.EXE
LSASS.EXE
SERVICES.EXE
SMSS.EXE
SOUNDMAN.EXE
SPOOLSV.EXE
SVCHOST.EXE
SYSTEM
SYSTEMIDLEPROCESS
[SYSTEMPROCESS]
WINLOGON.EXE
WMIPRVSE.EXE
TLIST.EXE
INTERNAT.EXE
NSUM.EXE
NSPMON.EXE
SFMPRINT.EXE
MSIEXEC.EXE
UTILMAN.EXE
SNMPTRAP.EXE
SCARDSVR.EXE
GROVEL.EXE
RSFSA.EXE
RSENG.EXE
SMLOGSVC.EXE
NETDDE.EXE
RSVP.EXE
SMLOGSVC.EXE
NETDDE.EXE
MNMSRVC.EXE
DMADMIN.EXE
CISVC.EXE
FAXSVC.EXE
MSDTC.EXE
CLIPSRV.EXE
DFSSVC.EXE
LSERVER.EXE
LOCATOR.EXE
LOCATOR.EXE
RSSUB.EXE
LLSSRV.EXE
NTFRS.EXE
WINS.EXE
UPS.EXE
ISMSERV.EXE
DNS.EXE
TERMSRV.EXE
TFTPD.EXE
TLNTSVR.EXE
INETINFO.EXE
REGSVC.EXE
TASKMGR.EXE
DLLHOST.EXE
MDM.EXE
RPCSS.EXE
SNMP.EXE
STISVC.EXE
MAPISP32.EXE
MMC.EXE
SNDVOL32.EXE
MSMSGS.EXE
NVSVC32.EXE
NWIZ.EXE
PSTORES.EXE
TICKET.EXE
TCPSVCS.EXE
OSA.EXE
IEXPLORE.EXE
MSGSRV32.EXE
MMTASK.TSK
MPREXE.EXE
KB891711.EXE
这使得系统中常见的杀毒软件,防火墙软件基本上失效。
2:寻找系统中文档文件,移动到磁盘的根目录下
"控制面板.{21EC2020-3AEA-1069-A2DD-08002B30309D}"文件夹里面,
并把该文件夹设为隐藏与系统属性。
文档文件是扩展名为xls,wps,rar,zip,mdb,doc,ppt的文件。
3:在Windows的临时目录里面生成"拯救硬盘.txt"文件,并写入以下内容。
1).你的硬盘资料丢失了,是因为手机的强电磁流影响了硬盘的正常读写
2).你必须使用磁盘修复工具拯救找回丢失的资料文件
3).但是,你正在使用的不是正版软件,是盗版
4).你必须拯救修复丢失的资料,并且尽快购买正版的软件,
5).点击左下角[开始],点击[所有程序],点击[附件],点击[修复硬盘资料]
6).为了确保你能尽快修复全部资料,必须在两小时内迅速办理,
7).按以上方法做的,一定能修复的资料包括:
*****(被移动了的文件)
4:在C:\DocumentsandSettings\[当前用户名]\开始菜单\程序\启动建一个指向拯救硬盘.txt的快捷方式,使每次系统启动都能看到该信息。
并在C:\DocumentsandSettings\[当前用户名]\开始菜单\程序\附件下面建一个"修复硬盘资料.url"的文件,指向一网站。
5:当程序运行时发现自己的名字为"RedPlus.exe",就会弹出输入注册码的窗口,
要求用户输入注册码修复硬盘上的资料。
6:此网站重新写了一个名为"redplus.exe"的软件,用于显示被该病毒移动后的文件,
它枚举所有文件夹,若发现文件夹的开头是"{"的话,则:
A、
使用attrib.exe-s-r-h/s/d
命令使文件夹与文件文件系统,只读,隐藏属性去掉。
B、更改注册表
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
SuperHidden->0
HideFileExt->0
ShowSuperHidden->1
使系统能看到隐藏文件。
C、打开此文件夹让用户看到。