12月13日至19日的一周时间中,要小心内容为空或简短英文的邮件,“杀手十三”和“求职信”两款蠕虫病毒将作乱。
昨天,国家计算机病毒应急处理中心发布12月13日至19日一周内将要发作的计算机病毒预报。其中,“杀手十三”(Worm_Killonce.A)将于今天出现,发作后将删除C盘根目录下的所有文件,造成严重的破坏。“求职信”也将同时到来,向外发送染毒邮件,破坏硬盘上的数据。终止反病毒软件的运行,并将其从电脑中删除。
专家提醒:由于邮件病毒的特征较为鲜明,信体内容为空或有简短的英文,并带有带毒附件。用户应谨慎处理。此外,局域网要安装正版的企业版杀毒软件。专家称,因为很多病毒是利用已知的漏洞和缺陷进行传播的,所以用户一定要定期升级操作系统和常用软件。
杀手十三病毒介绍:
一、欺骗性:
病毒程序的图标为windows浏览器的图标,有很大迷惑性。
二、驻留系统:
它将自己复制到系统目录及回收站目录文件名为Killonce.exe
%WINDOWS%\killonce.exe 是病毒,驻留系统
%WINDOWS%\Rundll32.exe 是病毒,替换系统文件
%RECYCLED%\killonce.exe 是病毒,隐藏到回收站
在注册表中添加以下键:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe %1
用户打开txt文件时,会激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*
作用是随WINDWOS启动而自动启动。
三、传播:
病毒遍历本地硬盘和局域网。
1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。
2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。
3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。
四、对付常见的反病毒软件:
病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。
五、降低系统安全:
执行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。
六、发作:
如果系统时间是12月13日,则在C:\AUTOEXEC.BAT 中写入
“ DELTREE /Y C:\*.*”,当系统再次启动时,C盘上的所有文件将被删除。
七、其他:
如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。
该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。
今天是:
搜索