隐藏用户文档勒索钱财
本报讯(记者熊海燕)昨天,一个旨在敲诈被感染用户钱财的木马病毒被江民公司反病毒中心截获。该病毒名为“敲诈者”,病毒可恶意隐藏用户文档,并借修复数据之名向用户索要钱财,是国内首例旨在敲诈勒索钱财的病毒。
江民反病毒专家介绍,“敲诈者”木马运行后,在系统目录下将自身复制为redplus.exe,大小200KB左右。建立快捷方式“开始菜单\所有程序\附件\修复硬盘资料”,并指向病毒程序。病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹,同时搜索本地磁盘上的用户常用格式文档,把搜索到的文件移动到上述备份文件夹中,造成用户常用文档丢失的假象。
病毒为了达到敲诈的目的,还会生成一名为“拯救硬盘.txt”的文本文件,同时在“开始菜单\所有程序\启动”菜单下建立指向“拯救硬盘.txt”的快捷方式,如果中毒用户按照“拯救硬盘.txt”中描述的步骤,运行病毒文件redplus.exe后,则显示要求中毒用户向指定的工行账户汇入70元人民币,并向指定的手机号码发送相关短信内容。该木马运行时,还会试图结束除几个系统进程外的所有程序,达到终止反病毒软件和病毒分析工具的目的。
反病毒专家介绍说,前几个月,国外曾经出现过一系列对用户文档加密后进行敲诈的恶意木马,但在国内没有感染报告。此次被截获的“敲诈者”为国内首例旨在敲诈勒索钱财的病毒,该病毒疑为国内作者制造,并专门针对中文用户。 |