10月21日消息,在刚刚过去的10月上中旬AVG中国区实验室发现大量劫持用户桌面的病毒,并且将近一个月过去仍然没有偃旗息鼓之势。被此类病毒感染的用户桌面会被锁定,无法进行任何操作。桌面劫持者会警告用户:由于被感染者散播反动言论或者浏览色情网站导致电脑锁定,需要被感染者向指定的邮箱发送邮件或者拨打指定的电话进行相应的操作才能解锁,否则系统会强制关机并且进行格式化。
下面我们重点来看看桌面劫持者是如何锁定用户桌面,并且屏蔽一切操作的:
首先桌面劫持者会遍历系统进程,结束explore.exe进程,使系统无法响应窗口键,并且启动一个线程来监控任务管理器的进程,如果存在就立即结束。
然后桌面劫持者会利用sfc_os.dll的导出的5函数:SfcFileException关闭系统对病毒需要替换的特定文件的保护,为替换系统的文件做准备。
在进行完一系列的准备工作时候,桌面劫持者会根据操作系统的版本选择性的替换系统文件,这些文件有可能是explore.exe或者是userinit.exe。替换之前,病毒会将该文件备份到同一个目录下随机命名的文件,然后劫持者自身将替换正常的系统文件(包括dllcache中的文件)从而到达优先启动的目的。在xp环境中病毒替换的是userinit.exe,从下图中的文件版本信息就可以看出来:
随后病毒就可以弹出对话框,锁定用户的桌面。但是在此之前病毒还不忘屏蔽掉一个很重要的热键ALT+Tab,以禁止用户在不同进程间切换,代码如下:
已经感染桌面劫持者病毒的用户,无论是普通模式还是安全模式都无法进入系统。这时候,需要进入PE环境进行系统文件的恢复,切忌向病毒指定的邮箱发送邮件或者拨打指定的电话,否则会进一步的陷入骗局。
AVG在此提醒您,一定要选择一款全面有效的防病毒软件,莫要使得那些幕后黑手轻易得手。已经能对此类病毒进行防范。AVG杀毒有着20年杀毒经验的老牌杀软,目前全球已经拥有超过一百万的忠实用户,刚刚发布的AVG杀毒永久免费中文版2012就已经能够有效对抗该病毒。