Worm.Killonce

Worm.Killonce是一個蠕蟲病毒。於2002年11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒--“殺手13”。這個病毒構思巧妙、功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是當年截獲的又一個“智慧型型”惡性病毒,也是當年發現的最具“殺傷力”的惡性病毒。

基本介紹

  • 中文名:Worm.Killonce
  • 知識庫編號: RSV0512280
  • 內容分類: 蠕蟲病毒
  • 關鍵字: 殺手13;Worm.Killonce
基本信息,病毒評估,病毒特性,解決方案,

基本信息

“殺手13”(Worm.Killonce)病毒檔案
知識庫編號: RSV0512280
內容分類: 蠕蟲病毒
關鍵字: 殺手13;Worm.Killonce
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
“殺手13”(Worm.Killonce)病毒檔案
“殺手13”(Worm.Killonce)病毒分析報告

病毒評估

病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路/郵件
感染對象:網路
警惕程度:★★★★

病毒特性

一、藏身系統目錄與資源回收筒
病毒一旦感染計算機,便將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe。病毒程式的圖示為windows瀏覽器的圖示,有很大迷惑性。
%WINDOWS%\killonce.exe 是病毒,駐留系統
%WINDOWS%\Rundll32.exe 是病毒,替換系統檔案
%RECYCLED%\killonce.exe 是病毒,隱藏到資源回收筒
二、加入註冊表中的自啟動項
病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe ,以達到自啟動的目的。
三、修改檔案關聯
當中毒後,在註冊表中添加以下鍵:
1) HKCR\txtfile\shell\open\command\ :%WINDOWS%\KillOnce.exe?? %1
用戶打開txt檔案時,會激活病毒。
2)HKCR\exefile\shell\open\command\ :%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :%WINDOWS%\KILLONCE.EXE "%1" %*
目的有兩個,一是雙擊exe檔案時,會激活病毒。二是阻止用戶運行REGEDIT.EXE,MSCONFIG.EXE。如果運行REGEDIT.EXE,MSCONFIG.EXE,病毒會禁止程式的運行,病毒會截獲並提示:“非法用戶,你無權執行該檔案”。
四、利用檔案載入自己
病毒遍曆本地硬碟和區域網路。
1.如果目錄有.DOC檔案,病毒會將把自己複製到該目錄,命名為:RICHED20.DLL ,當用戶打開當前目錄下的DOC檔案時,病毒被激活。
2.如果目錄有.HTM檔案,病毒會將把自己複製到該目錄,命名為:SHDOCVW.DLL,當用戶打開當前目錄下的HTM檔案時,病毒被激活。
五、共享系統盤,對抗反病毒軟體
當病毒進入記憶體後,便將系統盤設為共享,使區域網路內的其他用戶可以輕易修改該用戶的系統設定,並竊取其機密文。病毒還會生成多執行緒,其中一個執行緒休眠200毫秒就遍歷一次系統進程列表,如果找到它可以識別的反病毒軟體的進程便將之殺掉,使這些防毒軟體失效。
六、生成病毒郵件,區域網路傳播。
病毒還會進行瘋狂區域網路傳播,病毒會遍曆局域網,如果網路已分享資料夾是可寫的,則將自己複製到並在此目錄下生成一個可以自啟動的病毒郵件,使用戶中招。該郵件利用系統的IE漏洞,打開或預覽時會自動執行附屬檔案(病毒體)。
七、利用NET命令給系統開後門
病毒會每隔1分鐘便運行“Net.Exe LocalGroup Administrators Guest /Add”命令一次,將普通用戶(guest)賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。刪除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有鍵,然後添加新的鍵,以將C到K之間的硬碟盤符完全共享,共享名稱為CX、DX、EX、......、KX。
八、展開最終攻擊,破壞硬碟
在進行周密的布置後,當12月13日到來時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令,當用戶重啟計算機時,便將用戶C糟的所有內容全部刪除。

解決方案

方案一 手工解決方案
1、直接刪除系統目錄以及資源回收筒但病毒檔案Killonce.exe;
2、刪除註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項 中鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵;
3、刪除RICHED20.DLL、SHDOCVW.DLL這兩個病毒檔案;
4、當12月13日時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令,可以直接將autoexec.bat中的以上內容直接刪除。
方案二 瑞星防毒軟體15.09以上的版本可以攔截此病毒。

相關詞條

熱門詞條

聯絡我們