江民反病毒专家介绍，“敲诈者”木马运行后，在系统目录下将自身复制为redplus.exe，大小200KB左右。建立快捷方式"开始菜单\所有程序\附件\修复硬盘资料"，并指向病毒程序。

    病毒在本地磁盘根目录下建立一个属性为系统、隐藏和只读的备份文件夹，名为“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”，同时搜索本地磁盘上的用户常用格式文档（包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移动到上述备份文件夹中，造成用户常用文档丢失的假象。

病毒为了达到敲诈的目的，还会生成一名为“拯救硬盘.txt”的文本文件，内容如下：

1. 你的硬盘资料丢失了，是因为手机的强电磁流影响了硬盘的正常读写

2. 你必须使用磁盘修复工具拯救找回丢失的资料文件

3. 但是，你正在使用的不是正版软件，是盗版

4. 你必须拯救修复丢失的资料，并且尽快购买正版的软件，

5. 点击左下角 [ 开始 ], 点击 [ 所有程序 ], 点击 [ 附件 ], 点击 [ 修复硬盘资料 ]

6. 为了确保你能尽快修复全部资料，必须在两小时内迅速办理,

7. 按以上方法做的，一定能修复的资料包括:

[被隐藏的文件名称]

    病毒同时在“开始菜单\所有程序\启动”菜单下建立指向“拯救硬盘.txt”的快捷方式，这样每次系统启动，用户都会看到上述文本内容。

    如果中毒用户按照"拯救磁盘.txt"中描述的步骤，运行病毒文件redplus.exe后，则显示如图所示的敲诈文字，内容大致为要求中毒用户向某指定的工行账户内汇入70元人民币，并向指定的手机号码发送相关短信。

    该木马运行时，还会试图结束除几个系统进程外的所有程序，达到终止反病毒软件和病毒分析工具的目的。

    江民反病毒专家介绍说，前几个月，国外曾经出现过一系列对用户文档加密后进行敲诈的恶意木马，但在国内没有感染报告。此次被截获的“敲诈者”（Trojan/Agent.bq）可以确定为国内首例旨在敲诈勒索钱财的病毒，该病毒疑为国内作者制造，并专门针对中文用户。

    针对该木马，江民公司已经紧急升级了病毒库，请将KV系列杀毒软件的病毒库升级到最新，即可全面防御该病毒侵害。更多病毒资料请登陆江民反病毒资讯网http://www.jiangmin.com查询。