【51CTO.com綜合報(bào)道】10月21日消息，在剛剛過去的10月上中旬AVG中國區(qū)實(shí)驗(yàn)室發(fā)現(xiàn)大量劫持用戶桌面的病毒，并且將近一個(gè)月過去仍然沒有偃旗息鼓之勢。被此類病毒感染的用戶桌面會(huì)被鎖定，無法進(jìn)行任何操作。桌面劫持者會(huì)警告用戶：由于被感染者散播反動(dòng)言論或者瀏覽色情網(wǎng)站導(dǎo)致電腦鎖定，需要被感染者向指定的郵箱發(fā)送郵件或者撥打指定的電話進(jìn)行相應(yīng)的操作才能解鎖，否則系統(tǒng)會(huì)強(qiáng)制關(guān)機(jī)并且進(jìn)行格式化。下面我們重點(diǎn)來看看桌面劫持者是如何鎖定用戶桌面，并且屏蔽一切操作的：

首先桌面劫持者會(huì)遍歷系統(tǒng)進(jìn)程，結(jié)束explore.exe進(jìn)程，使系統(tǒng)無法響應(yīng)窗口鍵,并且啟動(dòng)一個(gè)線程來監(jiān)控任務(wù)管理器的進(jìn)程，如果存在就立即結(jié)束。

然后桌面劫持者會(huì)利用sfc_os.dll的導(dǎo)出的5函數(shù)：SfcFileException關(guān)閉系統(tǒng)對(duì)病毒需要替換的特定文件的保護(hù)，為替換系統(tǒng)的文件做準(zhǔn)備。

在進(jìn)行完一系列的準(zhǔn)備工作時(shí)候，桌面劫持者會(huì)根據(jù)操作系統(tǒng)的版本選擇性的替換系統(tǒng)文件，這些文件有可能是explore.exe或者是userinit.exe。替換之前，病毒會(huì)將該文件備份到同一個(gè)目錄下隨機(jī)命名的文件，然后劫持者自身將替換正常的系統(tǒng)文件（包括dllcache中的文件）從而到達(dá)優(yōu)先啟動(dòng)的目的。在xp環(huán)境中病毒替換的是userinit.exe，從下圖中的文件版本信息就可以看出來：

隨后病毒就可以彈出對(duì)話框，鎖定用戶的桌面。但是在此之前病毒還不忘屏蔽掉一個(gè)很重要的熱鍵ALT+Tab，以禁止用戶在不同進(jìn)程間切換，代碼如下：

已經(jīng)感染桌面劫持者病毒的用戶，無論是普通模式還是安全模式都無法進(jìn)入系統(tǒng)。這時(shí)候，需要進(jìn)入PE環(huán)境進(jìn)行系統(tǒng)文件的恢復(fù)，切忌向病毒指定的郵箱發(fā)送郵件或者撥打指定的電話，否則會(huì)進(jìn)一步的陷入騙局。

AVG在此提醒您，一定要選擇一款全面有效的防病毒軟件，莫要使得那些幕后黑手輕易得手。已經(jīng)能對(duì)此類病毒進(jìn)行防范。AVG殺毒有著20年殺毒經(jīng)驗(yàn)的老牌殺軟，目前全球已經(jīng)擁有超過一百萬的忠實(shí)用戶，剛剛發(fā)布的AVG殺毒永久免費(fèi)中文版2012就已經(jīng)能夠有效對(duì)抗該病毒。