6月15日,继近日国内率先截获首例“敲诈者”病毒后,江民科技反病毒中心宣布成功截获该病毒的两个新变种(trojanspy.agent.br、trojanspy.agent.bs)。与原病毒不同的是,新变种通过锁定键值表的方法来隐藏用户常用文件,较原先修改文件夹属性隐藏的方式技术上有了改进,加大了中毒用户手工找回被隐藏文件的难度。
江民反病毒专家介绍,敲诈者病毒变种有两个版本,trojanspy.agent.br中毒后显示症状与原病毒基本相同,不过病毒作者在隐藏文件技术上进行了改动,把原先通过属性隐藏文件夹的方法改为锁定注册表隐藏文件,这显然加大了普通用户手工清除病毒的难度。敲诈者另一变种bs中毒后显示为“新曦数据库”软件界面,敲诈手段基本相同,都要求中毒后向某账户打入钱购买破解密码。据反病毒工程师追踪发现,两变种疑系一人所为,前一病毒作者的网名为“俊曦”,除名子相似外,病毒关键特征码也有相同之处。
敲诈者病毒变种运行后,强行修改以下键值:
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
hidden=2
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
hidefileext=1
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
superhidden=1
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
showsuperhidden=0
这样无论用户如何通过文件管理器上“查看——文件夹选项”中的“显示所有文件和文件夹”以及“显示受保护的操作系统文件”这两个功能,都不能将病毒建立的文件备份文件夹显示出来的。
针对病毒修改注册表键值隐藏用户文件的做法,江民反病毒专家认为破解起来并不困难,稍有注册表常识的用户只需运行“regedit”,修改被病毒破坏的注册表为以下各个键值,这样就能显示隐藏文件以及系统文件了然后请定位到一下注册表键值:
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
hidden=1
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
hidefileext=0
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
superhidden=0
[hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced]
showsuperhidden=1
据悉,近日江民科技客户服务中心已接到数十例用户感染该病毒的报告,有迹象显示该病毒有进一步传播的可能性,江民反病毒专家提醒广大用户务必小心提防。针对该病毒,江民杀毒软件kv2006(单机版/网络版)都已紧急升级,用户只需升级杀毒软件到最新病毒库即可有效防范。此外,专家提醒用户,如不慎受到该病毒感染,千万不要给黑客汇款购买所谓的密码,以免助长黑客的嚣张气焰,受到更大的损害。更多有关该病毒资料,可登陆江民反病毒资讯网:查询。