2006年6月11日,國內首個旨在向感染用戶勒索錢財的特洛伊病毒被姜敏公司反病毒中心首次截獲。該病毒名為“特洛伊/Agent.bq”,可以惡意隱藏用戶文檔,以修復數據為名向用戶要錢。姜敏反病毒中心已經收到來自用戶感染這種特洛伊病毒不同變種的報告。
據姜敏反病毒專家介紹,“勒索者”特洛伊運行後,在系統目錄中以redplus.exe的身份自我復制,大小約200KB。創建快捷方式“開始菜單\所有程序\附件\修復硬盤數據”,指向病毒程序。
該病毒會在本地磁盤的根目錄下創建壹個具有系統、隱藏和只讀屬性的備份文件夾,名為“控制面板”。{
21ec 2020-3 AEA-1069-A2DD-08002 b 30309d }”,同時搜索用戶常用格式文檔(包括。xls,。doc,。mdb,。ppt,。wps,。zip,。rar)放在本地磁盤上,並把搜索。
為了達到敲詐的目的,該病毒還會生成壹個名為“保存硬盤”的文本文件。txt”,內容如下:
1.
妳的硬盤數據丟失是因為手機的強電磁流影響了硬盤的正常讀寫。
2.
您必須使用磁盤修復工具來保存和檢索丟失的數據文件。
3.
但是,妳用的不是正版軟件,是盜版軟件。
4.
妳必須保存並修復丟失的數據,並盡快購買正版軟件。
5.
點擊左下角
[
開始
],
點擊
[
所有程序
],
點擊
[
附件
],
點擊
[
修復硬盤數據
]
6.
為了確保妳能盡快修復所有信息,妳必須在兩個小時內快速完成。
7.
根據上述方法,可以修復的數據包括:
隱藏文件的名稱
與此同時,病毒創造了壹種“保存硬盤”的快捷方式。txt”在“開始菜單\所有程序\開始”菜單下,這樣每次系統啟動時用戶都會看到上面的文字。
如果中毒用戶按照“保存磁盤”中描述的步驟運行病毒文件redplus.exe。txt”,將顯示如圖所示的勒索文本。內容大致是要求中毒用戶將70元人民幣匯入指定的工行賬戶,並向指定的手機號碼發送相關短信。
特洛伊運行時,會嘗試終止除少數系統進程外的所有程序,從而終止殺毒軟件和病毒分析工具。
姜敏反病毒專家表示,幾個月前,國外出現了壹系列加密後勒索用戶文件的惡意木馬,但中國沒有感染的報告。此次截獲的“特洛伊/Agent.bq”可以確定為國內首個以勒索錢財為目的的病毒,疑似由國內作者制作,專門針對中國用戶。
針對這壹特洛伊,姜敏公司已經緊急升級了病毒庫。請將KV系列殺毒軟件的病毒庫升級到最新,以全面防禦此病毒。更多病毒信息,請訪問姜敏反病毒信息網。