“杀手13”(Worm.Killonce)病毒档案
知识库编号: RSV0512280
内容分类: 蠕虫病毒
关键词: 杀手13;Worm.Killonce
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
“杀手13”(Worm.Killonce)病毒档案
“杀手13”(Worm.Killonce)病毒分析报告
病毒评估
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/邮件
感染对象:网络
警惕程度:★★★★
病毒介绍
于2002年11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是当年截获的又一个“智能型”恶性病毒,也是当年发现的最具“杀伤力”的恶性病毒。
病毒特性
一、藏身系统目录与回收站
病毒一旦感染计算机,便将自己复制到系统目录以及回收站并命名为Killonce.exe。病毒程序的图标为windows浏览器的图标,有很大迷惑性。
%WINDOWS%\killonce.exe 是病毒,驻留系统
%WINDOWS%\Rundll32.exe 是病毒,替换系统文件
%RECYCLED%\killonce.exe 是病毒,隐藏到回收站
二、加入注册表中的自启动项
病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入键值为:Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe ,以达到自启动的目的。
三、修改文件关联
当中毒后,在注册表中添加以下键:
1) HKCR\txtfile\shell\open\command\ :%WINDOWS%\KillOnce.exe?? %1
用户打开txt文件时,会激活病毒。
2)HKCR\exefile\shell\open\command\ :%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :%WINDOWS%\KILLONCE.EXE "%1" %*
目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,病毒会截获并提示:“非法用户,你无权执行该文件”。
四、利用文件加载自己
病毒遍历本地硬盘和局域网。
1.如果目录有.DOC文件,病毒会将把自己复制到该目录,命名为:RICHED20.DLL ,当用户打开当前目录下的DOC文件时,病毒被激活。
2.如果目录有.HTM文件,病毒会将把自己复制到该目录,命名为:SHDOCVW.DLL,当用户打开当前目录下的HTM文件时,病毒被激活。
五、共享系统盘,对抗反病毒软件
当病毒进入内存后,便将系统盘设为共享,使局域网内的其他用户可以轻易修改该用户的系统设置,并窃取其机密文。病毒还会生成多线程,其中一个线程休眠200毫秒就遍历一次系统进程列表,如果找到它可以识别的反病毒软件的进程便将之杀掉,使这些杀毒软件失效。
六、生成病毒邮件,局域网传播。
病毒还会进行疯狂局域网传播,病毒会遍历局域网,如果网络共享目录是可写的,则将自己复制到并在此目录下生成一个可以自启动的病毒邮件,使用户中招。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。
七、利用NET命令给系统开后门
病毒会每隔1分钟便运行“Net.Exe LocalGroup Administrators Guest /Add”命令一次,将普通用户(guest)账号的访问权限提高到管理员的权限,并在系统中留下后门。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键,然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。
八、展开最终攻击,破坏硬盘
在进行周密的布置后,当12月13日到来时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令,当用户重启计算机时,便将用户C盘的所有内容全部删除。
解决方案
方案一 手工解决方案
1、直接删除系统目录以及回收站但病毒文件Killonce.exe;
2、删除注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项 中键值为:Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe 的自启动键;
3、删除RICHED20.DLL、SHDOCVW.DLL这两个病毒文件;
4、当12月13日时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令,可以直接将autoexec.bat中的以上内容直接删除。
方案二 瑞星杀毒软件15.09以上的版本可以拦截此病毒。