该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档（*.doc）文件，并用试图用自身覆盖找到的Word文档，达到传播的目的，同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被复制。

简介

具体技术特征

简介

病毒名称：Word文档杀手（Worm/DocKiller）

病毒类型：蠕虫

病毒大小：53248字节

传播方式：网络

具体技术特征

1. 病毒运行后，将在用户计算机中创建以下文件：

c:\\windows\\system\\sy*.**e， 53248字节，病毒程序。

%SystemDir%\\sy*.**e， 53248字节，病毒程序。2.在注册表中添加下列启动项：

在“HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\ policie*\\**plorer\\Run”下添加：“EXPLORER” = “%SystemDir%\\sy*.**e”

这样，在Windows启动时，病毒就可以自动执行。

3.病毒运行后会显示下面的对话框：4.病毒一旦发现用户运行了“Windows任务管理器”， 立即终止运行。这样可以避免自身进程被用户发现。

5.遍历从“A”到“Z”的所有盘符，并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档（*.doc）文件。一旦发现了Word文档，病毒会用自身覆盖原文档，造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名，其程序图标也是Word文档图标，所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前，查看文件大小和文件版本属性，“Word文档杀手”病毒的特征如下：

病毒大小：53248字节

版本属性：

[公司] = “Clone Software”

[内部名称] = “我的文档”

[源文件名] = “我的文档.exe”

一旦发现与病毒特征相符的文件，千万不要双击运行。

6. 病毒在管理员进行修改用户帐号密码的操作时还会进行键盘记录，并把记录的密码和被感染的机器名保存在名为“mmwj<%s>.sys”的文件中，其中<%s>是被感染计算机的名称。这些保存密码的文件也会被病毒复制到软盘、U盘和网络驱动器上。

“WORD文档杀手”（Trojan/DelDoc）新病毒，该病毒一旦发作，可以将office用户的WORD文档逐个删除，所有windows版本用户无一幸免。

该病毒采用VB语言编写，病毒主体文件为 c:\\windows\\doc.exe 或者 c:\\windows\\doc1.exe。病毒运行后，会采用原始的手段，在C盘根目录下生成病毒文件 c:\\ww.bat， 该文件内含有批处理程序： dir *.doc /a/b/s >>c:\\ww.txt。病毒然后将硬盘里面的所有的DOC文档建立一个列表，按照一定的的路径,逐一将这些DOC文件移动到Windows下的某个目录,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。

反病毒专家特别指出，此病毒还能自我加载到U盘的自动运行文件里，这样，一旦用户将感染了该病毒的U盘接入电脑，WORD文档杀手病毒就会自动运行，导致所有WORD文档神秘失踪。

但是，反病毒专家也指出， “WORD文档杀手”病毒还算比较“仁慈”，因为它并没有彻底删除DOC文件，受害用户可以尝试到c:\\windows\\wj\\ 这个文件夹中去看看有无同名的.com文件，如果有的话只需把扩展名改成.doc即可找回丢失的文件。