病毒名称： Trojan.Win32.Pluder.a
中文名称： 敲诈者
病毒类型： 木马类
文件 MD5： 3021325C84FC224AE10BA814BF9ECE2F
公开范围： 完全公开
危害等级： 中
文件长度： 196,096 字节
感染系统： windows98及以上版本
开发工具： Borland Delphi 6.0 - 7.0
加壳类型： UPX
命名对照： Symentec[无]
　　　　　 Mcafee[无]

　 该病毒属木马类，病毒盗用windows xp下应用程序“磁盘清理”图标，病毒运行后弹出对话框，要求输入正版序列号，向指定账户汇款等。病毒运行后复制原病毒副本%system%\redplus.exe，病毒在本地磁盘根目录下新建一个文件夹，其属性为系统、隐藏及只读，用于备份文件。同时搜索本地磁盘上的用户常用格式文档（扩展名为：.xls、doc、mdb、ppt、wps、zip、rar），并把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。病毒为了达到敲诈的目的，还会新建两个文本文件，同时在“开始菜单\所有程序\启动”菜单下建立指向该文本文件的快捷方式。病毒还会尝试结束某些进程，阻止用户清除病毒。

1、病毒为了达到敲诈的目的，会生成两个文本文件，内容分别为：

1)你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写
2) 你必须使用磁盘修复工具拯救找回丢失的资料文件.
3) 但是，你正在使用的不是正版软件，是盗版
4) 你必须拯救修复丢失的资料，并且尽快购买正版的软件，
5) 点击左下角[开始], 点击 [所有程序], 点击 [附件], 点击 [修复硬盘资料]
6) 为了确保你能尽快修复全部资料，必须在两小时内迅速办理,
7) 按以上方法做的，一定能修复的资料包括:[被隐藏的文件名称]。

网络下载过程中受电磁信号干扰，数据中有错误
不能打开, 请关闭

2、病毒装自身复制到%system%下，并新建病毒文件：

%system%\redplus.exe
%tmp%\Sunhay.txt
%All Users%\「开始」菜单\程序\桌面

3、添加注册表启动项，达到随机启动的目的：

HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值：字串：”Shell Folders”=”%Documents and Settings%\
All Users\开始\菜单\程序\启动\startup”
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值：字串：”Shell Folders”=” C:\Documents and Settings
\All Users\「开始」菜单\程序\桌面\desktop”

4、病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档（扩展名为：.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。

5、病毒还会结束除以下进程列表外的所有进程：

　　注：% System%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP中默认的安装路径是C:\Windows\System32。

1、使用安天木马防线可彻底清除此病毒(推荐)。

2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。

(1) 进入安全模式下，结束该病毒进。
(2) 将名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”的文件夹内的文件全部复制出。
(3) 删除原病毒副本、相关文件夹、病毒释放的文本文档及%system%\redplus.exe
(4) 删除注册表以下键值：

HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值：字串：”Shell Folders”=”%Documents and Settings%
\All Users\开始\菜单\程序\启动\startup”
HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows
\CurrentVersion\Explorer\
键值：字串：”Shell Folders”=” C:\Documents and Settings\All Users\「开始」菜单\程序\桌面\desktop”

　　木马防线2005+是安天实验室出品的个人信息安全产品，是木马防线2005的全新升级版，具备高效木马查杀、系统安全管理、实时网络防护等功能。

• 高效木马查杀　
  采用高速智能检测引擎（ＳＶＥ），能够完全查杀国内外流行的6万余种木马、后门、蠕虫、间谍软件、广告软件、黑客工具、色情拨号程序等，尤其对各类未知有害程序具有极高的检出率。
  
• 系统安全管理
  提供了丰富的安全管理工具，能够修复IE和注册表设置，管理系统中各项任务、进程、服务、共享资源和自启动项，监控网络的连接状态和开启的端口。
  
• 实时网络防护
  全新的安天盾防火墙功能更加强大，能够实时监控您的系统和网络，随时发现活动的木马等可疑程序，并能查封指定IP地址和端口，有效拦截各类诸如"冲击波""震荡波"的扫描攻击行为。

　　安天信息技术有限责任公司（中国安天实验室,Antiy Labs），是一家以网络信息安全为主要领域的综合性信息技术研发型企业。公司在反病毒、信息水印等前沿领域积极探索，持续研发，拥有自有核心技术和产品。