2002年11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力，是2002年截获的又一个“智能型”恶性病毒，也是2002年发现的最具“杀伤力”的恶性病毒。

病毒类型：蠕虫病毒杀手13病毒

发作时间：随机

传播方式：网络/邮件

感染对象：网络

警惕程度：★★★★

杀手13病毒 - 病毒特征一、藏身系统目录与回收站

病毒一旦感染计算机，便将自己复制到系统目录以及回收站并命名为Killonce.exe。

二、加入注册表中的自启动项

病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe ，以达到自启动的目的。

三、使用户无法使用注册表相关工具

杀手13病毒

当中毒后，病毒会通过修改exefile,txtfile的open\\command方式，使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时，病毒会截获并提示：“非法用户，你无权执行该文件”。 四、利用WORD加载自己

病毒通过读取注册表得系统当前用户的“我的文档”目录，如果此目录里存在*.doc文件，则病毒会将把自己复制到该目录，命名为：RICHED20.DLL SHDOCVW.DLL，当WORD打开这些文档时，便会将这两个病毒文件加载到内存中。

五、共享系统盘，对抗反病毒软件

当病毒进入内存后，便将系统盘设为共享，使局域网内的其他用户可以轻易修改该用户的系统设置，并窃取其机密文。病毒还会生成多线程，其中一个线程休眠200毫秒就遍历一次系统进程列表，如果找到它可以识别的反病毒软件的进程便将之杀掉，使这些杀毒软件失效。

六、生成病毒邮件，局域网传播。

病毒还会进行疯狂局域网传播，病毒会遍历局域网，将自己复制到网内共享可写目录，并在此目录下生成一个可以自启动的病毒邮件，使用户中招。

七、利用NET命令给系统开后门。

病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次，将普通用户（guest）账号的访问权限提高到管理员的权限，并在系统中留下后门。

八、展开最终攻击，破坏硬盘

在进行周密的布置后，当12月13日到来时，病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令，当用户重启计算机时，便将用户C盘的所有内容全部删除。

杀手13病毒 - 详细分析一、欺骗性：

病毒程序的图标为windows浏览器的图标，有很大迷惑性。

二、驻留系统：

它将自己复制到系统目录及回收站目录文件名为Killonce.exe

%WINDOWS%\\killonce.exe 是病毒，驻留系统

%WINDOWS%\\Rundll32.exe 是病毒，替换系统文件

%RECYCLED%\\killonce.exe 是病毒，隐藏到回收站在注册表中添加以下键：

1）

HKCR\\txtfile\\shell\\open\\command\\ ：
%WINDOWS%\\KillOnce.exe %1 用户打开txt文件时，会激活病毒。

2）

HKCR\\exefile\\shell\\open\\command\\：
%WINDOWS%\\KillOnce.exe "%1" %*

HKLM\\software\\classes\\exefile\\shell\\open\\command\\：
%WINDOWS%\\KillOnce.exe "%1" %*目的有两个，一是双击exe文件时，会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE，病毒会禁止程序的运行，并弹出对话框，显示：“你无权执行该文件!”

3）

HKLM\\software\\Microsoft\\Windows\\CurrentVersion\\Run\\:
KillOnce : %WINDOWS%\\KILLONCE.EXE "%1" %*作用是随WINDWOS启动而自动启动。

三、传播：

病毒遍历本地硬盘和局域网。

1．如果目录有.DOC文件，则释放RICHED20.DLL，是病毒，当用户打开当前目录下的DOC文件时，病毒被激活。

2.如果目录有.HTM文件，则释放SHDOCVW.DLL， 是病毒。当用户打开当前目录下的HTM文件时，病毒被激活。

3.如果网络共享目录是可写的，则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞，打开或预览时会自动执行附件（病毒体）。

四、对付常见的反病毒软件：

病毒枚举进程，如果进程明中包含KV、 AV、 LOAD 字符串，病毒不仅终止该进程，还会删除相应文件。

五、降低系统安全：

执行命令 “Net.Exe LocalGroup Administrators Guest /Add”，把Guest用户权限提升为管理员权限。删除HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\etwork\\LanMan\\下所有键。然后添加新的键，以将C到K之间的硬盘盘符完全共享，共享名称为CX、DX、EX、......、KX。

六、发作：

如果系统时间是12月13日，则在C:\\AUTOEXEC.BAT 中写入

“DELTREE /Y C:\\*.*”，当系统再次启动时，C盘上的所有文件将被删除。

七、其他：

如果本地计算机名称以 WANG 开头，不会共享本地硬盘，只是进行传播。

该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件：EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞，自动执行附件。

杀手13病毒 - 解决方案快速解毒秘诀：

(1)病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe,可以直接将这个病毒文件删除。

杀手13病毒

杀手13病毒

(2)病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run项 中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。

杀手13病毒

(3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：你无权执行该文件”的提示框。如果出现此信息，则说明中了“杀手13”病毒。

杀手13病毒

(4)如果“我的文档”目录中存在*.doc文件，病毒则会将把自己复制到该目录，命名为：RICHED20.DLL、SHDOCVW.DLL。 可以直接将这两个病毒文件删除。

杀手13病毒

(5)病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问权限提高到管理员的权限，并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。

杀手13病毒

(6)当12月13日时，病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。 杀手13病毒

杀手13病毒 - 小资料：关于13的禁忌　“13”这个数字被西方人视为不祥的象征，据说它源于宗教典故：出卖耶稣的犹大是耶稣的第十三个弟子，于是人们对“13”心生厌恶。又由于耶稣受难在星期五，因此西方人在既是13号又是星期五的那一天一般不举行活动。甚至门牌号、旅馆房号、层号、宴会桌号都要避开“13”。英国剧院中找不到13排13号的座位，美国的剧院即使有13号也以半价出售。此外，非洲的加纳、埃及，亚洲的巴基斯坦、阿富汗、新加坡及拉美一些国家也不大喜欢这个数字。但不是所有西方人都排斥“13”，13号这一天，飞机照样飞，火车照样开，英国前首相撒切尔夫人就为儿子选择13号举行婚礼。

在西方，许多用到13的地方多用M来代替，国内好多楼宇电梯也没有13层，只有M层。不过按照佛教来讲的话，3是好数，3，6，9都是。7也是好数字，相传佛祖7步出莲花。类似的北方人一般忌讳4，但是4在音乐里却是"发"音，好多南方的生意人喜欢4就想喜欢8一样。

不过不管13是不是个吉利的数字，一旦它成为触发病毒发作的扳机，大家都不会喜欢它。正如4月26日，本来是个平常的日子，但是由于CIH，让世界上多少人记住了这恐怖的一天，而这一天，恰好是CIH病毒制造者的生日。

杀手13病毒 - 相关报道病毒警报:“杀手13”让局域网面临危险

2002年11月14日下午，瑞星全球反病毒监测网截获一个极度危险的恶性蠕虫病毒，并将其命名为“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力，是今年 截获的又一个“智能型”恶性病毒，也是今年发现的最具“杀伤力”的恶性病毒。该病毒具有极强的攻击局域网的能力，并且极难清除，被感染计算机将在12月13日遭受毁灭性攻击：删除C盘全部目录和所有文件。

瑞星公司反病毒工程师认为，企事业单位的局域网用户将是这个病毒的主要受害者。对于普通的单机用户，只要升级反病毒软件，就可以清除这个病毒，对于局域网用户来说，问题就不那么简单了。由于“杀手13”病毒充分地利用局域网的共享目录进行潜伏和传播，对于那些没有安装网络版杀毒软件的局域网用户来说，根本无法利用已安装的单机版杀毒软件彻底清除躲藏在局域网各个角落中的“杀手13”。因此，一旦12月13日到来，难免造成惨痛的损失。

杀手13病毒

“杀手13”病毒的详细行为如下：

一旦感染计算机，就会将自己复制到系统目录以及回收站目录内，文件名为Killonce.exe，并在注册表中增加run项，已达到自启动的目的。

当用户中毒后，如果想运行regedit.exe，msconfig.exe对注册表进行修改，病毒将截获命令并提示用户“非法用户，你无权执行该文件”。

对抗反病毒软件

病毒会通过用户的“我的文档”目录，查找*.doc文件，病毒将把自己复制两份到该目录文件，分别命名为名为RICHED20.DLL 、SHDOCVW.DLLT

一旦用户启动Word，病毒就会自动启动建立一个监视线程，用以对付一些反毒软件。

攻击局域网 疯狂传播

病毒将把被感染机器的系统盘变成共享，局域网内的其他用户可以轻易修改该用户的系统设置，并切取其机密文件。

同时病毒每1分钟就运行“net.exe localgroup administrators guest /add”一次，将普通用户（guest）账号的访问权限提高到管理员的权限，并在系统中留下后门。

病毒还会遍历局域网，一旦发现局域网内由共享目录，就会将自己复制到此共享目录中，并同时会写入一个具有自启动漏洞的的mail文件，此mail文件的附件就是病毒体。

12月13日 展开最终攻击

经过上述的周密“准备”和大规模“传播”，“杀手13”的最终攻击日期是12月13日。

攻击日当天，“杀手13”将在autoexec.bat中加入deltree /y c:\\*.*命令，一旦用户重新启动计算机，病毒将删除C盘中所有目录和文件。

常见计算机病毒

随着电脑的普及，几乎所有的电脑用户都已知道“计算机病毒”这一名词。对于大多数计算机用户来说，谈到“计算机病毒”似乎觉得它深不可测，无法琢磨。那么比较常见的病毒有哪些呢？

冲击波病毒
恶鹰病毒
网络天空病毒
小邮差病毒
别惹我病毒
爱情后门病毒
情人节病毒　大无极病毒
2003蠕虫王病毒
尼姆达病毒
杀手13病毒
QQ病毒
硬盘杀手病毒
手机僵尸病毒　CIH病毒
红色代码病毒
求职信病毒
中国黑客病毒
JAPANIZE病毒
REDLOF