病毒名称：硬盘敲诈者　金山：Win32.Troj.QiaoZhaz.b.401759 卡巴：挂

病毒大小：401,759 字节

加壳方式： UPX、 FLYSFX、 NSPACK、 PE_PATCH（四重壳）

指纹效验：

SHA-160     : 17098095217C474FDB49496941A8109914CF86B9

MD5         : 74E76F43F567B32EF30C06BC7EC5710F

RIPEMD-160  : 8531A33DDBE67D3FCBDC43B804237F0EC3221B97

CRC-32      : 26ABE71B

测试平台：win2000PROSP4 + VM

病毒分析：

病毒运行后释放自身到C:\Documents and Settings\All Users\Application Data\Microsoft\下，命名为win1ogon.exe，通过分析病毒还会释放wins.com、飞越星球.scr到C:\windows\system32下，由于测试的是2000平台，没有存在目录，所以病毒无法释放这两个文件，可见病毒没有用环境变量来获取系统目录，有一点ｂｕｇ，哈哈。

病毒会将自身添加开始菜单和注册表常规启动项中，实现自启动；删除注册表键值达到删除文件夹选项的目的；删除注册表键值达到禁用开始菜单一系列命令的目的，被禁用的项目有：关闭计算机、运行、搜索等；删除非Ｃ盘外一切分区的各种文件，不删除文件目录，待文件删除后拷贝自身到该分区中重命名为svch0st.exe，增加autorun.inf文件，设置两个文件为隐藏属性，生成警告.h文件向计算机患者勒索RMB，但是由于病毒修改了txt的文件关联，使之无法查看，通过UE看到“发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件”信息；通过分析：病毒修改注册表达到修改屏幕保护时间为1分钟，然后运行病毒的屏蔽程序飞越星球.scr，注册表新建wins相关键值，添加系统服务。

注册表分析：

删除文件夹选项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\

此项包括所有键值被删除导致文件夹选项消失

修改文件关联：

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile\shell\open\command\@字符串: "C:\DocumentsandSettings\AllUsers\ApplicationData\Microsoft\win1ogon.exe"
曾经旧值为：%systemroot%\system32\notepad.exe

导致txt文本文件无法正确打开

增加警告提示框：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticecaption

字符串: "警告:"

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\legalnoticetext

字符串: " 发现您硬盘内曾使用过盗版了的我公司软件,所以将您部份文件移到锁定了的扇区,若要解锁将文件释放,请电邮liugongs19670519@yahoo.com.cn购买相应的软件"

修改默认屏蔽和屏蔽等待时间：（系统原因未实现）

HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Control Panel\Desktop\ScreenSaveTimeOut
新: 字符串: "60"
旧: 字符串: "900"
HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Control Panel\Desktop\SCRNSAVE.EXE
新: 字符串: "C:\WINDOWS\system32\飞越星球.scr"

开始菜单相关：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoClose　　　　　　　　　　　　　　　　
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoFind
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoRun
键值: DWORD: 1 (0x1)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\StartMenuLogOff
键值: DWORD: 1 (0x1)

依次取消关机、查找、运行、注销

病毒启动项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe
字符串: "C:\Documents and Settings\All Users\Application Data\Microsoft\win1ogon.exe"

服务启动项：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WINS \

服务名称：wins

服务描述：WINS为客户提供系统域名解析服务

服务隶属于：LocalSystem

服务映像：C:\windows\system32\wins.com

开启盘符自动播放：

HKEY_USERS\S-1-5-21-299502267-1390067357-839522115-1000\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
DWORD: 0 (0)

Autorun文件

[AutoRun]

open=SVCH0ST.EXE

shellexecute=SVCH0ST.EXE

shell\Auto\command=SVCH0ST.EXE

解决方法：

用数据恢复程序恢复除C盘的文件，把注册表键值恢复从前，删除病毒释放文件。

原创文章，转载请注明文章作者：孤单每一天

文章地址：http://hi.baidu.com/renlangliu/blog/item/b649a0decabd3058ccbf1ae4.html