複製鏈接
請複製以下鏈接發送給好友
https://baike.baidu.hk/item/Trojan.Win32.QiaoZhaz.d/6091340
複製
複製成功

Trojan.Win32.QiaoZhaz.d

鎖定
病毒屬木馬類,病毒運行後彈出對話框,內容為“發現您硬盤內曾使用過盜版了的我公司軟件 , 所以將您部份文件移到鎖定了的扇區 , 若要解鎖將文件釋放 在 2000 系統下點擊確定後不自動註銷。XP 系統下點擊確定後系統會自動註銷,由於病毒加載了啓動項,所以開機病毒會自動運行,會繼續彈出對話框,反覆循環。病毒衍生文件到系統目錄下,在啓動文件夾內衍生病毒文件,並重命名為 svchost.exe 。創建服務,並以服務的方式達到隨機啓動的目的。
外文名
Trojan.Win32.QiaoZhaz.d
屬    性
病毒
類    型
木馬
公開範圍
完全公開
開發工具
Microsoft Visual C++ 6.0
文件MD5
EEDDAD7A79CD000B5C13FA6DF0C29AAF
危害等級
5
文件長度
401,759 字節
感染系統
Win9X以上系統
加殼類型
UPX 0.89.6 - 1.02 / 1.05 - 1.22

目錄

  1. 1 病毒描述
  2. 2 清除方案

Trojan.Win32.QiaoZhaz.d病毒描述

去除“文件夾選項”,使用
户無法選擇“顯示所有隱藏文件”和不能去掉“隱藏受保護的系統文件”“隱藏已知文件類型的擴展名”。去除開始菜單中的“搜索”、“運行”項和“關機”項,使用户不能使用搜索、 command 命令和關機、註銷。修改 txt 文件關聯,當用户試圖運行 txt 文件時,則會激活病毒,同樣的辦法修改任務管理器關聯,無論用户怎樣打開任務管理器,都會激活病毒。病毒把屏保時間修改為 60 秒,在 %system32% 文件夾下生成病毒屏保文件,當用户 60 秒不操作計算機時,系統會自動 運行病毒。該病毒利用多種方法來保護自身。刪除非系統盤外的所有文件,並在每個盤符下建立一個名為:警告 .h 的文件。該病毒的行為極其惡劣,不停的彈出對話框,對用户進行敲詐勒索。 行為分析:
1 、 病毒運行後彈出對話框,內容為“發現您硬盤內曾使用過盜版了的我公司軟件 , 所以將您部份文件移到鎖定了的扇區 , 若要解鎖將文件釋放 ,。向用户進行敲詐勒索。在 2000 系統下點擊確定後不自動註銷。 XP 系統下點擊確定後系統會自動註銷,由於病毒加載了啓動項,所以開機病毒會自動運行,會繼續彈出對話框,反覆循環。
2 、 衍生病毒文件:
%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\All Users\ 「開始」菜單 \ 程序 \ 啓動 \
%Documents and Settings%\All Users\ 桌面 \ 警告 .h
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr %Documents and Settings%\commander\NTUSER.DAT.LOG %WINDIR%\Debug\UserMode\userenv.log
%WINDIR%\setupapi.log
%system32%\CatRoot2\dberr.txt
%system32%\config\default.LOG
%system32%\config\software.LOG
%system32%\config\system.LOG
%system32%\dllcache\taskmgr.exe
%system32%\taskmgr.exe
%system32%\
%system32%\ 飛越星球 .scr
3 、 創建服務,並以服務的方式達到隨機啓動的目的:
顯示名稱: WINS
描述: WINS 為客户提供系統域名解析服務
可執行文件的路徑: C:\windows\system32\
啓動類型:自動
4 、 去除“文件夾選項”,使用户無法選擇“顯示所有隱藏文件”和不能去掉“隱藏受保護的
系統文件”“隱藏已知文件類型的擴展名”:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Hidden
新建鍵值: DWORD: 2 (0x2)
原鍵值: DWORD: 1 (0x1)
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\HideFileExt
新建鍵值: DWORD: 1 (0x1)
原鍵值: DWORD: 0 (0)
5 、 去除開始菜單中的“搜索”、“運行”項和“關機”項,使用户不能使用搜索、 command
命令和關機、註銷:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoFolderOptions
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\NoClose
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\NoFind
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\NoRun
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\
Explorer\StartMenuLogOff
鍵值 : DWORD: 1 (0x1)
6 、 修改 txt 文件關聯,當用户試圖運行 txt 文件時,則會激活病毒,同樣的辦法修改任務
管理器關聯,無論用户怎樣打開任務管理器,都會激活病毒:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer\NoDriveTypeAutoRun
新建鍵值 : DWORD: 0 (0)
舊 : DWORD: 145 (0x91)
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@
新建鍵值 :"C:\Documents and Settings\All Users\Application Data\
Microsoft\win1ogon.exe"
7 、 刪除的註冊表項
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
鍵值 : DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
鍵值 : DWORD: 2 (0x2)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\HelpID
鍵值 : 字符串 : "shell.hlp#51105"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\HKeyRoot
鍵值 : DWORD: 2147483649 (0x80000001)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\RegPath
鍵值 : 字符串 : "Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\Text
鍵值 : 字符串 : "@shell32.dll,-30500"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\Type
鍵值 : 字符串 : "radio"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Explorer\Advanced\Folder\Hidden\SHOWALL\ValueName
鍵值 : 字符串 : "Hidden"
8 、 病毒把屏保時間修改為 60 秒,在 %system32% 文件夾下生成病毒屏保文件,當用户 60 秒
不操作計算機時,系統會自動運行病毒:
HKEY_CURRENT_USER\Control Panel\Desktop\
新建鍵值 : 字串 : "ScreenSaveTimeOut"="60"
原鍵值 : 字串 : "ScreenSaveTimeOut"="600"
HKEY_CURRENT_USER\Control Panel\Desktop\
新建鍵值 : 字串 : "SCRNSAVE.EXE"="C:\WINDOWS\system32\ 飛越星球 .scr"
原鍵值 : 字串 : "SCRNSAVE.EXE"="C:\WINDOWS\System32\logon.scr"
9 、 刪除非系統盤外的所有文件,並在每個盤符下建立一個名為:警告 .h 的文件,內容為:“發現您硬盤內曾使用過盜版了的我公司軟件 , 所以將您部份文件移到鎖定了的扇區 , 若要解鎖將文件釋放 。
注: %system32% 是一個可變路徑。病毒通過查詢操作系統來決定當前 system32 文件夾的位置。 Windows2000/NT 中默認的安裝路徑是 C:\Winnt\system32 , windows95/98/me/xp 中默認的安裝路徑是 C:\Windows\system32 。

Trojan.Win32.QiaoZhaz.d清除方案

1 、 使用安天木馬防線可徹底清除此病毒 ( 推薦 )
2 、 手工清除請按照行為分析刪除對應文件,恢復相關係統設置。
(1) 使用 安天木馬防線進程管理”關閉病毒進程
win1ogon.exe < 路徑 : C:\Documents and Settings\All Users\
Application Data\Microsoft\win1ogon.exe>
svchost.exe < 路徑 : C:\Documents and Settings\Administrator\
「開始」菜單 \ 程序 \ 啓動 \svchost.exe>
(2) 刪除病毒文件:
%Documents and Settings%\All Users\Application Data\Microsoft\win1ogon.exe
%Documents and Settings%\All Users\ 「開始」菜單 \ 程序 \ 啓動 \
%Documents and Settings%\All Users\ 桌面 \ 警告 .h
%Documents and Settings%\commander\Local Settings\Temp\E_4\krnln.fnr
%Documents and Settings%\commander\NTUSER.DAT.LOG
%WINDIR%\Debug\UserMode\userenv.log
%WINDIR%\setupapi.log
%system32%\CatRoot2\dberr.txt
%system32%\config\default.LOG
%system32%\config\software.LOG
%system32%\config\system.LOG
%system32%\taskmgr.exe
%system32%\
%system32%\ 飛越星球 .scr
(3)/敲詐者病毒變種D專用修復工具.rar 下載敲詐者病毒變種D專用註冊表修復工具。
(4) 雙擊“敲詐者病毒變種D專用註冊表修復工具.reg”將其內容導入註冊表。
(5) 將taskmgr.exe文件複製到C:\windows\system32目錄下。