根据分析,此病毒是一个勒索软件,通过修改登录用户密码,留下勒索QQ号码向用户索要金钱. 它调用了Kernel32.dll里的WinExec来执行更改用户密码的cmd命令,密码为107289,更改完密码之后就关闭计算机.
解决方案:输入密码107289 或者使用PE系统破解密码.
在修改了最后的关机以及注销命令后 详细分析过程如下:
先调用GetUserNameA得到当前用户的用户名:
之后以这个用户名构造一个密码更改字符串:
为net user FL 107289 ,本虚拟机用户名为FL
之后调用WinExec来执行
另外,这个程序还对名为"administrator"的管理员账户也执行了上述更改密码操作,确保所有的账户都被更改了密码.
之后此程序创建了一个用户,用户名为"加QQ1072890578解锁",107289是密码,同时也是此QQ号前6位
之后睡眠3秒:
之后将此用户加入了管理员组:
之后再睡眠,并关机,注销
之后便结束了,重启之后便看到了勒索画面.