國內(nèi)首例旨在敲詐被感染用戶錢財(cái)?shù)哪抉R病毒被江民公司反病毒中心率先截獲。該病毒名為“敲詐者”(Trojan/Agent.bq)，病毒可惡意隱藏用戶文檔，并借修復(fù)數(shù)據(jù)之名向用戶索取錢財(cái)。江民反病毒中心目前已接到感染該木馬不同變種的用戶報(bào)告。

　　江民反病毒專家介紹，“敲詐者”木馬運(yùn)行后，在系統(tǒng)目錄下將自身復(fù)制為redplus.exe，大小200KB左右。建立快捷方式"開始菜單所有程序\附件修復(fù)硬盤資料"，并指向病毒程序。

　　病毒在本地磁盤根目錄下建立一個(gè)屬性為系統(tǒng)、隱藏和只讀的備份文件夾，名為“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”，同時(shí)搜索本地磁盤上的用戶常用格式文檔（包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移動(dòng)到上述備份文件夾中，造成用戶常用文檔丟失的假象。

　　病毒為了達(dá)到敲詐的目的，還會(huì)生成一名為“拯救硬盤.txt”的文本文件，內(nèi)容如下：

　　1. 你的硬盤資料丟失了，是因?yàn)?A href="http://mobile.ezit.com.cn/">手機(jī)的強(qiáng)電磁流影響了硬盤的正常讀寫

　　2. 你必須使用磁盤修復(fù)工具拯救找回丟失的資料文件

　　3. 但是，你正在使用的不是正版軟件，是盜版

　　4. 你必須拯救修復(fù)丟失的資料，并且盡快購買正版的軟件，

　　5. 點(diǎn)擊左下角 [ 開始 ], 點(diǎn)擊 [ 所有程序 ], 點(diǎn)擊 [ 附件 ], 點(diǎn)擊 [ 修復(fù)硬盤資料 ]

　　6. 為了確保你能盡快修復(fù)全部資料，必須在兩小時(shí)內(nèi)迅速辦理,

　　7. 按以上方法做的，一定能修復(fù)的資料包括:

　　[被隱藏的文件名稱]

　　病毒同時(shí)在“開始菜單所有程序\啟動(dòng)”菜單下建立指向“拯救硬盤.txt”的快捷方式，這樣每次系統(tǒng)啟動(dòng)，用戶都會(huì)看到上述文本內(nèi)容。

　　如果中毒用戶按照"拯救磁盤.txt"中描述的步驟，運(yùn)行病毒文件redplus.exe后，則顯示如圖所示的敲詐文字，內(nèi)容大致為要求中毒用戶向某指定的工行賬戶內(nèi)匯入70元人民幣，并向指定的手機(jī)號(hào)碼發(fā)送相關(guān)短信。

　　該木馬運(yùn)行時(shí)，還會(huì)試圖結(jié)束除幾個(gè)系統(tǒng)進(jìn)程外的所有程序，達(dá)到終止反病毒軟件和病毒分析工具的目的。