警惕最新木马“敲诈者”！

来自安天实验室：
http://www.antiy.com/index.htm

内容：
　本周提醒广大用户谨防最新“敲诈”型木马：Trojan.Win32.Pluder.a　。
　　该病毒属木马类，病毒盗用windows xp下应用程序"磁盘清理"图标，病毒运行后弹出对话框，要求输入正版序列号，向指定账户汇款等。病毒运行后复制原病毒副本到系统文件夹下，病毒在本地磁盘根目录下新建一个文件夹，并搜索本地磁盘上的用户常用格式文档，将搜索到的文件移动到上述备份文件夹中，造成一个用户常用文档丢失的假象，继而达到敲诈的目的，病毒同时还会新建两个文本文件，在"开始菜单\所有程序\启动"菜单下建立指向该文本文件的快捷方式。病毒运行后还会尝试结束某些进程，尽量阻止用户清除该病毒文件。
　　病毒运行后尝试搜集以下扩展名的文件，并将这些文件移动到一个新建的文件夹中，造成文档丢失的假象。

.xls
.doc
.mdb
.ppt
.wps
......

病毒运行后在以下键值添加新键，达到随系统启动的目的：
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\

病毒通过获取当前进程，同病毒的内置进程列表进行比较，若匹配不成功，则将该程结束，病毒内置进程列表如下：
EXPLORER.EXE
HCOUNT.EXE
MSTASK.EXE
DDHELP.EXE
STIMON.EXE
WMIEXE.EXE
CTFMON.EXE
SPOOLSV.EXE
SYSTEM
SYSTEM IDLE PROCESS
CISVC.EXE
MSIEXEC.EXE
RSFSA.EXE
SMLOGSVC.EXE
DMADMIN.EXE
CLIPSRV.EXE
LOCATOR.EXE
......

详细分析请看（Trojan.Win32.Pluder.a分析）

安天CERT忠告广大用户：
1.及时下载并安装系统补丁。
2.不要轻易点击即时聊天工具和论坛中的不明链接，不要执行可信度不高的程序。
3.使用安天木马防线2005+，并及时升级，为您的系统提供透明的保护。

附：
安天木马防线2005+试用版下载地址:
http://www.antiy.com/product/ghostbusters/index.htm
病毒上报信箱: submit@virusview.net