网络社会征信网

每周病毒预报(2014年2月17日至2014年2月23日)

发布日期:2014-02-17 14:09:04

Trojan.Cryptolocker.D

警惕程度★★★

影响平台:Win 9X/ME/NT/2000/XP/Server 2003

病毒执行体描述:

Trojan.Cryptolocker.D是一个木马,它加密受感染计算机上的文件,然后提示用户购买解密的密钥。

木马执行时,它会创建下列文件:

C:\Documents and Settings\All Users\Application Data\1AD9295D91.exe

C:\Documents and Settings\All Users\Application Data\1AD9295D91.img

C:\Documents and Settings\All Users\Application Data\Adobe\Acrobat\9.0\JavaScripts\glob.js

该木马会创建以下注册表项:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"1AD9295D91" = "C:\Documents and Settings\All Users\Application Data\1AD9295D91.exe"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\"*1AD9295D91" = "C:\

Documents and Settings\All Users\Application Data\1AD9295D91.exe"

HKEY_CURRENT_USER\Software\1AD9295D91\Keys\"Wallpaper" = "%DownloadedData%"

HKEY_CURRENT_USER\Software\1AD9295D91\Keys\"Public" = "%DownloadedData%"

HKEY_CURRENT_USER\Software\1AD9295D91\Files\"(default)" = ""

然后,木马连接到以下远程地址:

[http://]cabin.su[REMOVED]

接着,木马加密以下文件扩展名的文件:.doc.xls.ppt.wb2.jpg.gif.png

之后,木马会在桌面跳出一个提示框,告诉计算机用户,他们的文件已经被加密,要求用户购买解密所需的私钥才能解密。

预防和清除:

不要点击不明网站;打开不明邮件附件;定时经常更新杀毒软件病毒数据库,最好打开杀毒软件的病毒数据库自动更新功能。关闭电脑共享功能,关闭允许远程连接电脑的功能。安装最新的系统补丁。

 

专题活动