國內首例旨在敲詐被感染用戶錢財的木馬病毒被江民公司反病毒中心率先截獲。該病毒名為“敲詐者”(Trojan/Agent.bq)，病毒可惡意隱藏用戶文檔，并借修復數據之名向用戶索取錢財。江民反病毒中心目前已接到感染該木馬不同變種的用戶報告。

　　江民反病毒專家介紹，“敲詐者”木馬運行后，在系統目錄下將自身復制為redplus.exe，大小200KB左右。建立快捷方式"開始菜單所有程序\附件修復硬盤資料"，并指向病毒程序。

　　病毒在本地磁盤根目錄下建立一個屬性為系統、隱藏和只讀的備份文件夾，名為“控制面板.{ 21EC2020-3AEA-1069-A2DD-08002B30309D}”，同時搜索本地磁盤上的用戶常用格式文檔（包括.xls、.doc、.mdb、.ppt、.wps、.zip、.rar），把搜索到的文件移動到上述備份文件夾中，造成用戶常用文檔丟失的假象。

　　病毒為了達到敲詐的目的，還會生成一名為“拯救硬盤.txt”的文本文件，內容如下：

　　1. 你的硬盤資料丟失了，是因為手機的強電磁流影響了硬盤的正常讀寫

　　2. 你必須使用磁盤修復工具拯救找回丟失的資料文件

　　3. 但是，你正在使用的不是正版軟件，是盜版

　　4. 你必須拯救修復丟失的資料，并且盡快購買正版的軟件，

　　5. 點擊左下角 [ 開始 ], 點擊 [ 所有程序 ], 點擊 [ 附件 ], 點擊 [ 修復硬盤資料 ]

　　6. 為了確保你能盡快修復全部資料，必須在兩小時內迅速辦理,

　　7. 按以上方法做的，一定能修復的資料包括:

　　[被隱藏的文件名稱]

　　病毒同時在“開始菜單所有程序\啟動”菜單下建立指向“拯救硬盤.txt”的快捷方式，這樣每次系統啟動，用戶都會看到上述文本內容。

　　如果中毒用戶按照"拯救磁盤.txt"中描述的步驟，運行病毒文件redplus.exe后，則顯示如圖所示的敲詐文字，內容大致為要求中毒用戶向某指定的工行賬戶內匯入70元人民幣，并向指定的手機號碼發送相關短信。

　　該木馬運行時，還會試圖結束除幾個系統進程外的所有程序，達到終止反病毒軟件和病毒分析工具的目的。