在刚刚过去的10月上中旬AVG中国区实验室发现大量劫持用户桌面的病毒，并且将近一个月过去仍然没有偃旗息鼓之势。被此类病毒感染的用户桌面会被锁定，无法进行任何操作。桌面劫持者会警告用户：由于被感染者散播反动言论或者浏览色情网站导致电脑锁定，需要被感染者向指定的邮箱发送邮件或者拨打指定的电话进行相应的操作才能解锁，否则系统会强制关机并且进行格式化。下面我们重点来看看桌面劫持者是如何锁定用户桌面，并且屏蔽一切操作的：

    首先桌面劫持者会遍历系统进程，结束explore.exe进程，使系统无法响应窗口键，并且启动一个线程来监控任务管理器的进程，如果存在就立即结束。

然后桌面劫持者会利用sfc_os.dll的导出的5函数：SfcFileException关闭系统对病毒需要替换的特定文件的保护，为替换系统的文件做准备。

　　在进行完一系列的准备工作时候，桌面劫持者会根据操作系统的版本选择性的替换系统文件，这些文件有可能是explore.exe或者是 userinit.exe。替换之前，病毒会将该文件备份到同一个目录下随机命名的文件，然后劫持者自身将替换正常的系统文件（包括dllcache中的文件）从而到达优先启动的目的。在xp环境中病毒替换的是userinit.exe，从下图中的文件版本信息就可以看出来：

　　随后病毒就可以弹出对话框，锁定用户的桌面。但是在此之前病毒还不忘屏蔽掉一个很重要的热键ALT+Tab，以禁止用户在不同进程间切换，代码如下：

　　 已经感染桌面劫持者病毒的用户，无论是普通模式还是安全模式都无法进入系统。这时候，需要进入PE环境进行系统文件的恢复，切忌向病毒指定的邮箱发送邮件或者拨打指定的电话，否则会进一步的陷入骗局。

    AVG在此提醒您，一定要选择一款全面有效的防病毒软件，莫要使得那些幕后黑手轻易得手。已经能对此类病毒进行防范。AVG杀毒有着20年杀毒经验的老牌杀软，目前全球已经拥有超过一百万的忠实用户，刚刚发布的AVG杀毒永久免费中文版2012就已经能够有效对抗该病毒。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。