什么是敲诈者介绍

腾讯反病毒实验室发现，一类向受害用户索要钱财的敲诈木马频繁出现，受害者需向不法分子提供一定数额的赎金，否则无法使用加密硬盘上的资料文件，甚至会反复强制置顶勒索提示的弹窗导致电脑无法使用，危害极大。此外，该木马还会将敲诈信息设置为电脑桌面，影响较之前更为恶劣。

介绍

1、拷贝文件

病毒运行后,会把自己拷贝到以下地方:

C:windowssystem32wins.com

C:documents and SettingsAll Users「开始」菜单程序启动svchost.com

C:documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe

C:WINDOWSsystem32dllcachetaskmgr.exe

C:WINDOWSsystem32taskmgr.exe

往该文件写入警告语言并显示。

C:documents and SettingsAll Users桌面警告.h

其中以下两处为Windows任务管理器的文件，病毒是直接把任务管理器替换成病毒本身，

使用户无法使用Windows任务管理器

C:WINDOWSsystem32dllcachetaskmgr.exe

C:WINDOWSsystem32taskmgr.exe

2、修改注册表:

病毒会修改以下注册表值:

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

Hidden -> 0x02

HKCRtxtfileshellopencommand(Default)

\"C:documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe\"

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced

HideFileExt -> 0x01

HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

NoFolderOptions -> 0x01

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

NoClose -> 0x01

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

StartMenuLogOff -> 0x01

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer

NoFind -> 0x01

删除键值

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL

使得系统中无法查看隐藏文件，无法关闭与注销系统，无法打开txt文档，严重影响用户的工作。

并添加以下两处注册表值:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem

legalnoticecaption -> \"警告:\"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciessystem

legalnoticetext ->

使得Windows启动时会弹出该信息窗口，给用户造成恐慌。

3、注册服务

病毒会注册一个名为\"WINS\"的服务，并指向

C:documents and SettingsAll UsersApplication DataMicrosoftwin1ogon.exe

使病毒能随Windows启动。

4、删除文件

病毒会删除以下文件:

C:Program FilesTencent*.*

其它分区的所有文件

但不会删除文件夹，

给用户造成巨大的损失。