“殺手13”病毒

惡性蠕蟲病毒“殺手13 ”是 一個極度危險的這個病毒構思巧妙、功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是今年截獲的又一個“智慧型型”惡性病毒,也是今年發現的最具“殺傷力”的惡性病毒

基本介紹

  • 中文名:“殺手13”病毒
  • 特點:功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力
  • 系統:在Windows 2000、Windows XP等作業系統環境下正常運行
  • 類型:“智慧型型”惡性病毒
破壞功能,病毒的發現與清除:,天極網病毒專區提醒,“殺手13”(Worm.Killonce)病毒分析報告,欺騙性:,駐留系統:,傳播:,對付常見的反病毒軟體:,降低系統安全:,發作:,其他:,病毒特性,“殺手13”病毒的解決方案,

破壞功能

此病毒可以在Windows 2000、Windows XP等作業系統環境下正常運行。它運行時會將自身寫入系統目錄及資源回收筒,並通過修改註冊表進行自啟動,同時在區域網路進行瘋狂傳播,建立多個執行緒,幹掉已知的反病毒軟體,並用NET命令打開區域網路上計算機的後門。12月13日,病毒爆發時,還會給被感染的計算機帶來毀滅性的攻擊:刪除C糟全部目錄和所有檔案!

病毒的發現與清除:

如果用戶發現計算機中有這些特徵,則很有可能中了此病毒。
一、病毒會將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe
二、病毒運行時會在註冊表中的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵。
三、如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,會出現標題為:“非法用戶”,內容為:“你無權執行該檔案” 的提示框。
四、如果“我的文檔”目錄中存在*.doc檔案,病毒則會將把自己複製到該目錄,命名為:RICHED20.DLL和SHDOCVW.DLL。
五、病毒會在管理組中建立一個GUEST用戶,並將此用戶賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門
六、當12月13日時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“殺手13(Worm.KillOnce)”病毒,用戶可以將病毒檔案直接刪除、將註冊表中的病毒鍵值刪除,來消除病毒的影響,如果用戶對註冊表不太熟悉的話,也可以到瑞星網站下載註冊表清除工具,最好還是用瑞星防毒軟體2003版的最新版本進行徹底清除。

天極網病毒專區提醒

為避免遭受損失,眾網友應儘快升級自己的防毒軟體,瑞星防毒軟體15.09以上的版本能自動截獲並清除此病毒。

“殺手13”(Worm.Killonce)病毒分析報告

欺騙性:

病毒程式的圖示為windows瀏覽器的圖示,有很大迷惑性。

駐留系統:

它將自己複製到系統目錄及資源回收筒目錄檔案名稱為Killonce.exe
%WINDOWS%\killonce.exe 是病毒,駐留系統
%WINDOWS%\Rundll32.exe 是病毒,替換系統檔案
%RECYCLED%\killonce.exe 是病毒,隱藏到資源回收筒
在註冊表中添加以下鍵:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe %1
用戶打開txt檔案時,會激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
目的有兩個,一是雙擊exe檔案時,會激活病毒。二是阻止用戶運行REGEDIT.EXE,MSCONFIG.EXE。如果運行 REGEDIT.EXE,MSCONFIG.EXE,病毒會禁止程式的運行,並彈出對話框,顯示:“你無權執行該檔案!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*
作用是隨WINDWOS啟動而自動啟動。

傳播:

病毒遍曆本地硬碟和區域網路。
1.如果目錄有.DOC檔案,則釋放RICHED20.DLL,是病毒,當用戶打開當前目錄下的DOC檔案時,病毒被激活。
2.如果目錄有.HTM檔案,則釋放SHDOCVW.DLL, 是病毒。當用戶打開當前目錄下的HTM檔案時,病毒被激活。
3.如果網路已分享資料夾是可寫的,則試圖在該目錄下創建一個email檔案。該郵件利用系統的IE漏洞,打開或預覽時會自動執行附屬檔案(病毒體)。

對付常見的反病毒軟體:

病毒枚舉進程,如果進程明中包含KV、 AV、 LOAD 字元串 ,病毒不僅終止該進程,還會刪除相應檔案。

降低系統安全:

執行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用戶許可權提升為管理員許可權。刪除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有鍵。然後添加新的鍵,以將C到K之間的硬碟盤符完全共享,共享名稱為CX、DX、EX、......、KX。

發作:

如果系統時間是12月13日,則在C:\AUTOEXEC.BAT 中寫入
“ DELTREE /Y C:\*.*”,當系統再次啟動時,C糟上的所有檔案將被刪除。

其他:

如果本地計算機名稱以 WANG 開頭,不會共享本地硬碟,只是進行傳播。
該病毒中包含關於郵件的代碼。估計以後的版本會通過郵件傳播。郵件中包含一個附屬檔案:EXPLORER.EXE ,其實是該病毒。郵件利用Outlook的漏洞,自動執行附屬檔案。
12月13日將刪除C糟全部檔案的“殺手13”病毒
--------------------------------------------------------------------------------
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路/郵件
感染對象:網路
警惕程度:★★★★
於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒--“殺手13”。這個病毒構思巧妙、功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是今年截獲的又一個“智慧型型”惡性病毒,也是今年發現的最具“殺傷力”的惡性病毒。

病毒特性

一、藏身系統目錄與資源回收筒
病毒一旦感染計算機,便將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe。
二、加入註冊表中的自啟動項
病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe ,以達到自啟動的目的。
三、使用戶無法使用註冊表相關工具
當中毒後,病毒會通過修改exefile,txtfile的open\command方式,使用戶無法使用Regedit.exe與Msconfig.exe註冊表相關工具.如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,病毒會截獲並提示:“非法用戶,你無權執行該檔案”。
四、利用WORD載入自己
病毒通過讀取註冊表得系統當前用戶的“我的文檔”目錄,如果此目錄里存在*.doc檔案,則病毒會將把自己複製到該目錄,命名為:RICHED20.DLL SHDOCVW.DLL,當WORD打開這些文檔時,便會將這兩個病毒檔案載入到記憶體中。
五、共享系統盤,對抗反病毒軟體
當病毒進入記憶體後,便將系統盤設為共享,使區域網路內的其他用戶可以輕易修改該用戶的系統設定,並竊取其機密文。病毒還會生成多執行緒,其中一個執行緒休眠200毫秒就遍歷一次系統進程列表,如果找到它可以識別的反病毒軟體的進程便將之殺掉,使這些防毒軟體失效。
六、生成病毒郵件,區域網路傳播。
病毒還會進行瘋狂區域網路傳播,病毒會遍曆局域網,將自己複製到網內共享可寫目錄,並在此目錄下生成一個可以自啟動的病毒郵件,使用戶中招。
七、利用NET命令給系統開後門
病毒會每隔1分鐘便運行“net.exe localgroup administrators guest /add”命令一次,將普通用戶(guest)賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。
八、展開最終攻擊,破壞硬碟
在進行周密的布置後,當12月13日到來時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令,當用戶重啟計算機時,便將用戶C糟的所有內容全部刪除

“殺手13”病毒的解決方案

快速解毒秘訣:
(1)病毒會將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe 可以直接將這個病毒檔案刪除。
(2)病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項 中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵。可以直接將此註冊表鍵值刪除。
(3)如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,會出現標題為:“非法用戶”,內容為:你無權執行該檔案”的提示框。如果出現此信息,則說明中了“殺手13”病毒。
(4)如果“我的文檔”目錄中存在*.doc檔案,病毒則會將把自己複製到該目錄,命名為:RICHED20.DLL、SHDOCVW.DLL。可以直接將這兩個病毒檔案刪除。
(5)病毒會在管理組中建立一個GUEST用戶,並將此用戶賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。網管員可以據此判斷是否中了“殺手13”病毒。
(6)當12月13日時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令。可以直接將autoexec.bat中的以上內容直接刪除。

相關詞條

熱門詞條

聯絡我們