估计是“杀手”病毒,我找到“杀手13”病毒分析,你对照一下看看
一、欺骗性:
病毒程序的图标为windows浏览器的图标,有很大迷惑性。
二、驻留系统:
它将自己复制到系统目录及回收站目录文件名为Killonce.exe
%WINDOWS%\killonce.exe 是病毒,驻留系统
%WINDOWS%\Rundll32.exe 是病毒,替换系统文件
%RECYCLED%\killonce.exe 是病毒,隐藏到回收站
在注册表中添加以下键:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe %1
用户打开txt文件时,会激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*
作用是随WINDWOS启动而自动启动。
三、传播:
病毒遍历本地硬盘和局域网。
1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。
2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。
3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。
四、对付常见的反病毒软件:
病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。
五、降低系统安全:
执行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。
六、发作:
如果系统时间是12月13日,则在C:\AUTOEXEC.BAT 中写入
“ DELTREE /Y C:\*.*”,当系统再次启动时,C盘上的所有文件将被删除。
七、其他:
如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。
该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。
