前一段时间遇到很多类似情景：

网友在不知情的情况下，发现自己的计算机被锁住了，开机的时候会出现类似这样的信息，

这类恶劣的手段很让人着急，一般的对电脑不了解的用户可能束手无策，最后只能无奈的联系勒索人求取密码。

这一类的手法主要是通过net 命令来修改管理员的密码的

设置注册表相关的信息来提醒中招者联系敲诈勒索者

这种手段很快就被各家杀软拦截识别杀了，于是木马作者通过第二种方法去达到目的。

第二种方法没有出现net相关的命令，而是利用NetUserSetInfo这个api来设置密码的。

对这个函数下断点（断了两次，一个是名字，一次是密码）：

在msdn上查到：

NET_API_STATUS NetUserSetInfo( LPCWSTR servername,//当为Null的时候表示使用本地计算机。 LPCWSTR username,//指向一个字符串指针，如0016ACE0，指向的就是字符串“Administrator”。 DWORD level,//不同的level，指明buf中存放不同的数据信息 LPBYTE buf,//存放数据。 LPDWORD parm_err );

level参数描述

level

[in]

Specifies the information level of the data. This parameter can be one of the following values.

当level中的参数为1011，Specifies the full name of the user. The buf parameter points to a USER_INFO_1011 structure.

typedef struct _USER_INFO_1011 { LPWSTR usri1011_full_name; } USER_INFO_1011, PUSER_INFO_1011, LPUSER_INFO_1011;

0016CE88在内存中

修改成功后。

当level中的参数为1003，Specifies a user password. The buf parameter points to a USER_INFO_1003 structure.

typedef struct _USER_INFO_1003 { LPWSTR usri1003_password; } USER_INFO_1003, PUSER_INFO_1003, LPUSER_INFO_1003;

0012FC24指向的就是这么一个结构。

00171820在内存中，对应的unicode：bu

所以被锁的密码是“bu”，输入后成功进入。

第二种现在360安全卫士可以从根本上完美拦截了。

这类木马大多数都是通过qq群或者邮件传播的，木马作者潜伏进入一些游戏群，将木马名称改为带有诱惑性的名字，然后上传木马，比如CF免费刷枪无毒软件，免费刷Q币等等，很容易被网友下载运行。

本文的木马来源于一个中招的网友，在帮助他解决问题之后总结了一下木马常见手法，故有此文。