然后桌面劫持者会利用sfc_os.dll的导出的5函数:SfcFileException关闭系统对病毒需要替换的特定文件的保护,为替换系统的文件做准备。
在进行完一系列的准备工作时候,桌面劫持者会根据操作系统的版本选择性的替换系统文件,这些文件有可能是explore.exe或者是userinit.exe。替换之前,病毒会将该文件备份到同一个目录下随机命名的文件,然后劫持者自身将替换正常的系统文件(包括dllcache中的文件)从而到达优先启动的目的。在xp环境中病毒替换的是userinit.exe,从下图中的文件版本信息就可以看出来:
随后病毒就可以弹出对话框,锁定用户的桌面。但是在此之前病毒还不忘屏蔽掉一个很重要的热键ALT+Tab,以禁止用户在不同进程间切换,代码如下:
已经感染桌面劫持者病毒的用户,无论是普通模式还是安全模式都无法进入系统。这时候,需要进入PE环境进行系统文件的恢复,切忌向病毒指定的邮箱发送邮件或者拨打指定的电话,否则会进一步的陷入骗局。
AVG在此提醒您,一定要选择一款全面有效的防病毒软件,莫要使得那些幕后黑手轻易得手。已经能对此类病毒进行防范。AVG杀毒有着20年杀毒经验的老牌杀软,目前全球已经拥有超过一百万的忠实用户,刚刚发布的AVG杀毒永久免费中文版2012就已经能够有效对抗该病毒。
想要了解更多安全资讯,请点击www.avg.com
本文来源:天空软件 作者:佚名