““杀手13”病毒”的意思、由来-中文百科全书

破坏功能

此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。它运行时会将自身写入系统目录及回收站，并通过修改注册表进行自启动，同时在局域网进行疯狂传播，建立多个线程，干掉已知的反病毒软件，并用NET命令打开局域网上计算机的后门。12月13日，病毒爆发时，还会给被感染的计算机带来毁灭性的攻击：删除C盘全部目录和所有文件！

病毒的发现与清除：

如果用户发现计算机中有这些特征，则很有可能中了此病毒。

一、病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe

二、病毒运行时会在注册表中的：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe 的自启动键。

三、如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：“你无权执行该文件” 的提示框。

四、如果“我的文档”目录中存在*.doc文件，病毒则会将把自己复制到该目录，命名为：RICHED20.DLL和SHDOCVW.DLL。

五、病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问权限提高到管理员的权限，并在系统中留下后门。

六、当12月13日时，病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“杀手13（Worm.KillOnce）”病毒，用户可以将病毒文件直接删除、将注册表中的病毒键值删除，来消除病毒的影响，如果用户对注册表不太熟悉的话，也可以到瑞星网站下载注册表清除工具，最好还是用瑞星杀毒软件2003版的最新版本进行彻底清除。

天极网病毒专区提醒

为避免遭受损失，众网友应尽快升级自己的杀毒软件，瑞星杀毒软件15.09以上的版本能自动截获并清除此病毒。

“杀手13”(Worm.Killonce)病毒分析报告

一、欺骗性：

病毒程序的图标为windows浏览器的图标，有很大迷惑性。

二、驻留系统：

它将自己复制到系统目录及回收站目录文件名为Killonce.exe

%WINDOWS%\\killonce.exe 是病毒，驻留系统

%WINDOWS%\\Rundll32.exe 是病毒，替换系统文件

%RECYCLED%\\killonce.exe 是病毒，隐藏到回收站

在注册表中添加以下键：

1） HKCR\\txtfile\\shell\\open\\command\\ ：

%WINDOWS%\\KillOnce.exe %1

用户打开txt文件时，会激活病毒。

2）HKCR\\exefile\\shell\\open\\command\\ :

%WINDOWS%\\KILLONCE.EXE "%1" %*

HKLM\\software\\classes\\exefile\\shell\\open\\command\\ :

%WINDOWS%\\KILLONCE.EXE "%1" %*

目的有两个，一是双击exe文件时，会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE，病毒会禁止程序的运行，并弹出对话框，显示：“你无权执行该文件!”

3）HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Run\\:

KillOnce : %WINDOWS%\\KILLONCE.EXE "%1" %*

作用是随WINDWOS启动而自动启动。

三、传播：

病毒遍历本地硬盘和局域网。

1．如果目录有.DOC文件，则释放RICHED20.DLL，是病毒，当用户打开当前目录下的DOC文件时，病毒被激活。

2.如果目录有.HTM文件，则释放SHDOCVW.DLL，是病毒。当用户打开当前目录下的HTM文件时，病毒被激活。

3.如果网络共享目录是可写的，则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞，打开或预览时会自动执行附件（病毒体）。

四、对付常见的反病毒软件：

病毒枚举进程，如果进程明中包含KV、 AV、 LOAD 字符串，病毒不仅终止该进程，还会删除相应文件。

五、降低系统安全：

执行命令 “Net.Exe LocalGroup Administrators Guest /Add”，把Guest用户权限提升为管理员权限。删除HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\下所有键。然后添加新的键，以将C到K之间的硬盘盘符完全共享，共享名称为CX、DX、EX、......、KX。

六、发作：

如果系统时间是12月13日，则在C:\\AUTOEXEC.BAT 中写入

“ DELTREE /Y C:\\*.*”，当系统再次启动时，C盘上的所有文件将被删除。

七、其他：

如果本地计算机名称以 WANG 开头，不会共享本地硬盘，只是进行传播。

该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件：EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞，自动执行附件。

12月13日将删除C盘全部文件的“杀手13”病毒

--------------------------------------------------------------------------------

病毒类型：蠕虫病毒

发作时间：随机

传播方式：网络/邮件

感染对象：网络

警惕程度：★★★★

于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力，是今年截获的又一个“智能型”恶性病毒，也是今年发现的最具“杀伤力”的恶性病毒。

病毒特性

一、藏身系统目录与回收站

病毒一旦感染计算机，便将自己复制到系统目录以及回收站并命名为Killonce.exe。

二、加入注册表中的自启动项

病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe ，以达到自启动的目的。

三、使用户无法使用注册表相关工具

当中毒后，病毒会通过修改exefile,txtfile的open\\command方式，使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时，病毒会截获并提示：“非法用户，你无权执行该文件”。

四、利用WORD加载自己

病毒通过读取注册表得系统当前用户的“我的文档”目录，如果此目录里存在*.doc文件，则病毒会将把自己复制到该目录，命名为：RICHED20.DLL SHDOCVW.DLL，当WORD打开这些文档时，便会将这两个病毒文件加载到内存中。

五、共享系统盘，对抗反病毒软件

当病毒进入内存后，便将系统盘设为共享，使局域网内的其他用户可以轻易修改该用户的系统设置，并窃取其机密文。病毒还会生成多线程，其中一个线程休眠200毫秒就遍历一次系统进程列表，如果找到它可以识别的反病毒软件的进程便将之杀掉，使这些杀毒软件失效。

六、生成病毒邮件，局域网传播。

病毒还会进行疯狂局域网传播，病毒会遍历局域网，将自己复制到网内共享可写目录，并在此目录下生成一个可以自启动的病毒邮件，使用户中招。

七、利用NET命令给系统开后门

病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次，将普通用户（guest）账号的访问权限提高到管理员的权限，并在系统中留下后门。

八、展开最终攻击，破坏硬盘

在进行周密的布置后，当12月13日到来时，病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令，当用户重启计算机时，便将用户C盘的所有内容全部删除

“杀手13”病毒的解决方案

快速解毒秘诀：

(1)病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe 可以直接将这个病毒文件删除。

(2)病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。

(3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：你无权执行该文件”的提示框。如果出现此信息，则说明中了“杀手13”病毒。

(4)如果“我的文档”目录中存在*.doc文件，病毒则会将把自己复制到该目录，命名为：RICHED20.DLL、SHDOCVW.DLL。可以直接将这两个病毒文件删除。

(5)病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问权限提高到管理员的权限，并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。

(6)当12月13日时，病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。

词条	“杀手13”病毒
释义	恶性蠕虫病毒“杀手13 ”是一个极度危险的这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力，是今年截获的又一个“智能型”恶性病毒，也是今年发现的最具“杀伤力”的恶性病毒。破坏功能病毒的发现与清除：天极网病毒专区提醒 “杀手13”(Worm.Killonce)病毒分析报告(一、欺骗性：二、驻留系统：三、传播：四、对付常见的反病毒软件：五、降低系统安全：六、发作：七、其他：) 病毒特性 “杀手13”病毒的解决方案破坏功能此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。它运行时会将自身写入系统目录及回收站，并通过修改注册表进行自启动，同时在局域网进行疯狂传播，建立多个线程，干掉已知的反病毒软件，并用NET命令打开局域网上计算机的后门。12月13日，病毒爆发时，还会给被感染的计算机带来毁灭性的攻击：删除C盘全部目录和所有文件！病毒的发现与清除：如果用户发现计算机中有这些特征，则很有可能中了此病毒。一、病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe 二、病毒运行时会在注册表中的： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe 的自启动键。三、如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：“你无权执行该文件” 的提示框。四、如果“我的文档”目录中存在.doc文件，病毒则会将把自己复制到该目录，命名为：RICHED20.DLL和SHDOCVW.DLL。五、病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问权限提高到管理员的权限，并在系统中留下后门。六、当12月13日时，病毒会在autoexec.bat文件中加入deltree /y c:\\.的命令。用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“杀手13（Worm.KillOnce）”病毒，用户可以将病毒文件直接删除、将注册表中的病毒键值删除，来消除病毒的影响，如果用户对注册表不太熟悉的话，也可以到瑞星网站下载注册表清除工具，最好还是用瑞星杀毒软件2003版的最新版本进行彻底清除。天极网病毒专区提醒为避免遭受损失，众网友应尽快升级自己的杀毒软件，瑞星杀毒软件15.09以上的版本能自动截获并清除此病毒。 “杀手13”(Worm.Killonce)病毒分析报告一、欺骗性：病毒程序的图标为windows浏览器的图标，有很大迷惑性。二、驻留系统：它将自己复制到系统目录及回收站目录文件名为Killonce.exe %WINDOWS%\\killonce.exe 是病毒，驻留系统 %WINDOWS%\\Rundll32.exe 是病毒，替换系统文件 %RECYCLED%\\killonce.exe 是病毒，隐藏到回收站在注册表中添加以下键： 1） HKCR\\txtfile\\shell\\open\\command\\ ： %WINDOWS%\\KillOnce.exe %1 用户打开txt文件时，会激活病毒。 2）HKCR\\exefile\\shell\\open\\command\\ : %WINDOWS%\\KILLONCE.EXE "%1" % HKLM\\software\\classes\\exefile\\shell\\open\\command\\ : %WINDOWS%\\KILLONCE.EXE "%1" %* 目的有两个，一是双击exe文件时，会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE，病毒会禁止程序的运行，并弹出对话框，显示：“你无权执行该文件!” 3）HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Run\\: KillOnce : %WINDOWS%\\KILLONCE.EXE "%1" %* 作用是随WINDWOS启动而自动启动。三、传播：病毒遍历本地硬盘和局域网。 1．如果目录有.DOC文件，则释放RICHED20.DLL，是病毒，当用户打开当前目录下的DOC文件时，病毒被激活。 2.如果目录有.HTM文件，则释放SHDOCVW.DLL，是病毒。当用户打开当前目录下的HTM文件时，病毒被激活。 3.如果网络共享目录是可写的，则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞，打开或预览时会自动执行附件（病毒体）。四、对付常见的反病毒软件：病毒枚举进程，如果进程明中包含KV、 AV、 LOAD 字符串，病毒不仅终止该进程，还会删除相应文件。五、降低系统安全：执行命令 “Net.Exe LocalGroup Administrators Guest /Add”，把Guest用户权限提升为管理员权限。删除HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\下所有键。然后添加新的键，以将C到K之间的硬盘盘符完全共享，共享名称为CX、DX、EX、......、KX。六、发作：如果系统时间是12月13日，则在C:\\AUTOEXEC.BAT 中写入 “ DELTREE /Y C:\\.”，当系统再次启动时，C盘上的所有文件将被删除。七、其他：如果本地计算机名称以 WANG 开头，不会共享本地硬盘，只是进行传播。该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件：EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞，自动执行附件。 12月13日将删除C盘全部文件的“杀手13”病毒 -------------------------------------------------------------------------------- 病毒类型：蠕虫病毒发作时间：随机传播方式：网络/邮件感染对象：网络警惕程度：★★★★ 于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力，是今年截获的又一个“智能型”恶性病毒，也是今年发现的最具“杀伤力”的恶性病毒。病毒特性一、藏身系统目录与回收站病毒一旦感染计算机，便将自己复制到系统目录以及回收站并命名为Killonce.exe。二、加入注册表中的自启动项病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe ，以达到自启动的目的。三、使用户无法使用注册表相关工具当中毒后，病毒会通过修改exefile,txtfile的open\\command方式，使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时，病毒会截获并提示：“非法用户，你无权执行该文件”。四、利用WORD加载自己病毒通过读取注册表得系统当前用户的“我的文档”目录，如果此目录里存在.doc文件，则病毒会将把自己复制到该目录，命名为：RICHED20.DLL SHDOCVW.DLL，当WORD打开这些文档时，便会将这两个病毒文件加载到内存中。五、共享系统盘，对抗反病毒软件当病毒进入内存后，便将系统盘设为共享，使局域网内的其他用户可以轻易修改该用户的系统设置，并窃取其机密文。病毒还会生成多线程，其中一个线程休眠200毫秒就遍历一次系统进程列表，如果找到它可以识别的反病毒软件的进程便将之杀掉，使这些杀毒软件失效。六、生成病毒邮件，局域网传播。病毒还会进行疯狂局域网传播，病毒会遍历局域网，将自己复制到网内共享可写目录，并在此目录下生成一个可以自启动的病毒邮件，使用户中招。七、利用NET命令给系统开后门病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次，将普通用户（guest）账号的访问权限提高到管理员的权限，并在系统中留下后门。八、展开最终攻击，破坏硬盘在进行周密的布置后，当12月13日到来时，病毒会在autoexec.bat文件中加入deltree /y c:\\.的命令，当用户重启计算机时，便将用户C盘的所有内容全部删除 “杀手13”病毒的解决方案快速解毒秘诀： (1)病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe 可以直接将这个病毒文件删除。 (2)病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。 (3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：你无权执行该文件”的提示框。如果出现此信息，则说明中了“杀手13”病毒。 (4)如果“我的文档”目录中存在.doc文件，病毒则会将把自己复制到该目录，命名为：RICHED20.DLL、SHDOCVW.DLL。可以直接将这两个病毒文件删除。 (5)病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问权限提高到管理员的权限，并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。 (6)当12月13日时，病毒会在autoexec.bat文件中加入deltree /y c:\\.的命令。可以直接将autoexec.bat中的以上内容直接删除。
随便看	良塘村良塘盘古大庙良天良天飞自然村良田S500A3B高拍仪良田革命烈士纪念碑良田千亩良田千顷良田营盘遗址良田镇中心幼儿园良王庄良王庄村良王庄中学良晤良贤村良乡冬菇良乡二村良乡高教园区良乡三村良乡县良乡一村良宵苦短良宵引良新村良心壶