| 词条 | “杀手13”病毒 |
| 释义 | § 概述 于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。 § 详细 “杀手13”(Worm.Killonce)病毒分析报告 -------------------------------------------------------------------------------- 一、欺骗性: 病毒程序的图标为windows浏览器的图标,有很大迷惑性。 二、驻留系统: 它将自己复制到系统目录及回收站目录文件名为Killonce.exe %WINDOWS%\\killonce.exe 是病毒,驻留系统 %WINDOWS%\\Rundll32.exe 是病毒,替换系统文件 %RECYCLED%\\killonce.exe 是病毒,隐藏到回收站 在注册表中添加以下键: 1) HKCR\\txtfile\\shell\\open\\command\\ : %WINDOWS%\\KillOnce.exe %1 用户打开txt文件时,会激活病毒。 2)HKCR\\exefile\\shell\\open\\command\\ : %WINDOWS%\\KILLONCE.EXE "%1" %* HKLM\\software\\classes\\exefile\\shell\\open\\command\\ : %WINDOWS%\\KILLONCE.EXE "%1" %* 目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!” 3)HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Run\\: KillOnce : %WINDOWS%\\KILLONCE.EXE "%1" %* 作用是随WINDWOS启动而自动启动。 三、传播: 病毒遍历本地硬盘和局域网。 1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。 2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。 3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。 四、对付常见的反病毒软件: 病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。 五、降低系统安全: 执行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。 六、发作: 如果系统时间是12月13日,则在C:\\AUTOEXEC.BAT 中写入 “ DELTREE /Y C:\\*.*”,当系统再次启动时,C盘上的所有文件将被删除。 七、其他: 如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。 该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。 12月13日将删除C盘全部文件的“杀手13”病毒 -------------------------------------------------------------------------------- 病毒类型:蠕虫病毒 发作时间:随机 传播方式:网络/邮件 感染对象:网络 警惕程度:★★★★ 于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。 此病毒有如下几个特性: 一、藏身系统目录与回收站 病毒一旦感染计算机,便将自己复制到系统目录以及回收站并命名为Killonce.exe。 二、加入注册表中的自启动项 病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为:Killonce ,内容为:C:\\WINNT\\SYSTEM32\\KillOnce.exe ,以达到自启动的目的。 三、使用户无法使用注册表相关工具 当中毒后,病毒会通过修改exefile,txtfile的open\\command方式,使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时,病毒会截获并提示:“非法用户,你无权执行该文件”。 四、利用WORD加载自己 病毒通过读取注册表得系统当前用户的“我的文档”目录,如果此目录里存在*.doc文件,则病毒会将把自己复制到该目录,命名为:RICHED20.DLL SHDOCVW.DLL,当WORD打开这些文档时,便会将这两个病毒文件加载到内存中。 五、共享系统盘,对抗反病毒软件 当病毒进入内存后,便将系统盘设为共享,使局域网内的其他用户可以轻易修改该用户的系统设置,并窃取其机密文。病毒还会生成多线程,其中一个线程休眠200毫秒就遍历一次系统进程列表,如果找到它可以识别的反病毒软件的进程便将之杀掉,使这些杀毒软件失效。 六、生成病毒邮件,局域网传播。 病毒还会进行疯狂局域网传播,病毒会遍历局域网,将自己复制到网内共享可写目录,并在此目录下生成一个可以自启动的病毒邮件,使用户中招。 七、利用NET命令给系统开后门 病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次,将普通用户(guest)账号的访问权限提高到管理员的权限,并在系统中留下后门。 八、展开最终攻击,破坏硬盘 在进行周密的布置后,当12月13日到来时,病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令,当用户重启计算机时,便将用户C盘的所有内容全部删除 “杀手13”病毒的解决方案 -------------------------------------------------------------------------------- 快速解毒秘诀: (1)病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe 可以直接将这个病毒文件删除。 (2)病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项 中加入键值为:Killonce ,内容为:C:\\WINNT\\SYSTEM32\\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。 (3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时,会出现标题为:“非法用户”,内容为:你无权执行该文件”的提示框。如果出现此信息,则说明中了“杀手13”病毒。 (4)如果“我的文档”目录中存在*.doc文件,病毒则会将把自己复制到该目录,命名为:RICHED20.DLL、SHDOCVW.DLL。可以直接将这两个病毒文件删除。 (5)病毒会在管理组中建立一个GUEST用户,并将此用户账号的访问权限提高到管理员的权限,并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。 (6)当12月13日时,病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。 |
| 随便看 |
百科全书收录594082条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。