0
“杀手13”病毒
于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。
“杀手13”(Worm.Killonce)病毒分析报告
--------------------------------------------------------------------------------
一、欺骗性:
病毒程序的图标为windows浏览器的图标,有很大迷惑性。
二、驻留系统:
它将自己复制到系统目录及回收站目录文件名为Killonce.exe
%WINDOWS%\killonce.exe 是病毒,驻留系统
%WINDOWS%\Rundll32.exe 是病毒,替换系统文件
%RECYCLED%\killonce.exe 是病毒,隐藏到回收站
在注册表中添加以下键:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe %1
用户打开txt文件时,会激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*
作用是随WINDWOS启动而自动启动。
三、传播:
病毒遍历本地硬盘和局域网。
1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。
2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。
3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。
四、对付常见的反病毒软件:
病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。
五、降低系统安全:
执行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。
六、发作:
如果系统时间是12月13日,则在C:\AUTOEXEC.BAT 中写入
“ DELTREE /Y C:\*.*”,当系统再次启动时,C盘上的所有文件将被删除。
七、其他:
如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。
该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。
12月13日将删除C盘全部文件的“杀手13”病毒
--------------------------------------------------------------------------------
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/邮件
感染对象:网络
警惕程度:★★★★
于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。
此病毒有如下几个特性:
一、藏身系统目录与回收站
病毒一旦感染计算机,便将自己复制到系统目录以及回收站并命名为Killonce.exe。
二、加入注册表中的自启动项
病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入键值为:Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe ,以达到自启动的目的。
三、使用户无法使用注册表相关工具
当中毒后,病毒会通过修改exefile,txtfile的open\command方式,使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时,病毒会截获并提示:“非法用户,你无权执行该文件”。
四、利用WORD加载自己
病毒通过读取注册表得系统当前用户的“我的文档”目录,如果此目录里存在*.doc文件,则病毒会将把自己复制到该目录,命名为:RICHED20.DLL SHDOCVW.DLL,当WORD打开这些文档时,便会将这两个病毒文件加载到内存中。
五、共享系统盘,对抗反病毒软件
当病毒进入内存后,便将系统盘设为共享,使局域网内的其他用户可以轻易修改该用户的系统设置,并窃取其机密文。病毒还会生成多线程,其中一个线程休眠200毫秒就遍历一次系统进程列表,如果找到它可以识别的反病毒软件的进程便将之杀掉,使这些杀毒软件失效。
六、生成病毒邮件,局域网传播。
病毒还会进行疯狂局域网传播,病毒会遍历局域网,将自己复制到网内共享可写目录,并在此目录下生成一个可以自启动的病毒邮件,使用户中招。
七、利用NET命令给系统开后门
病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次,将普通用户(guest)账号的访问权限提高到管理员的权限,并在系统中留下后门。
八、展开最终攻击,破坏硬盘
在进行周密的布置后,当12月13日到来时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令,当用户重启计算机时,便将用户C盘的所有内容全部删除
“杀手13”病毒的解决方案
--------------------------------------------------------------------------------
快速解毒秘诀:
(1)病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe 可以直接将这个病毒文件删除。
(2)病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项 中加入键值为:Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。
(3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时,会出现标题为:“非法用户”,内容为:你无权执行该文件”的提示框。如果出现此信息,则说明中了“杀手13”病毒。
(4)如果“我的文档”目录中存在*.doc文件,病毒则会将把自己复制到该目录,命名为:RICHED20.DLL、SHDOCVW.DLL。可以直接将这两个病毒文件删除。
(5)病毒会在管理组中建立一个GUEST用户,并将此用户账号的访问权限提高到管理员的权限,并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。
(6)当12月13日时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。
“杀手13”(Worm.Killonce)病毒分析报告
--------------------------------------------------------------------------------
一、欺骗性:
病毒程序的图标为windows浏览器的图标,有很大迷惑性。
二、驻留系统:
它将自己复制到系统目录及回收站目录文件名为Killonce.exe
%WINDOWS%\killonce.exe 是病毒,驻留系统
%WINDOWS%\Rundll32.exe 是病毒,替换系统文件
%RECYCLED%\killonce.exe 是病毒,隐藏到回收站
在注册表中添加以下键:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe %1
用户打开txt文件时,会激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*
作用是随WINDWOS启动而自动启动。
三、传播:
病毒遍历本地硬盘和局域网。
1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。
2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。
3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。
四、对付常见的反病毒软件:
病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。
五、降低系统安全:
执行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。
六、发作:
如果系统时间是12月13日,则在C:\AUTOEXEC.BAT 中写入
“ DELTREE /Y C:\*.*”,当系统再次启动时,C盘上的所有文件将被删除。
七、其他:
如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。
该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。
12月13日将删除C盘全部文件的“杀手13”病毒
--------------------------------------------------------------------------------
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/邮件
感染对象:网络
警惕程度:★★★★
于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。
此病毒有如下几个特性:
一、藏身系统目录与回收站
病毒一旦感染计算机,便将自己复制到系统目录以及回收站并命名为Killonce.exe。
二、加入注册表中的自启动项
病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入键值为:Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe ,以达到自启动的目的。
三、使用户无法使用注册表相关工具
当中毒后,病毒会通过修改exefile,txtfile的open\command方式,使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时,病毒会截获并提示:“非法用户,你无权执行该文件”。
四、利用WORD加载自己
病毒通过读取注册表得系统当前用户的“我的文档”目录,如果此目录里存在*.doc文件,则病毒会将把自己复制到该目录,命名为:RICHED20.DLL SHDOCVW.DLL,当WORD打开这些文档时,便会将这两个病毒文件加载到内存中。
五、共享系统盘,对抗反病毒软件
当病毒进入内存后,便将系统盘设为共享,使局域网内的其他用户可以轻易修改该用户的系统设置,并窃取其机密文。病毒还会生成多线程,其中一个线程休眠200毫秒就遍历一次系统进程列表,如果找到它可以识别的反病毒软件的进程便将之杀掉,使这些杀毒软件失效。
六、生成病毒邮件,局域网传播。
病毒还会进行疯狂局域网传播,病毒会遍历局域网,将自己复制到网内共享可写目录,并在此目录下生成一个可以自启动的病毒邮件,使用户中招。
七、利用NET命令给系统开后门
病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次,将普通用户(guest)账号的访问权限提高到管理员的权限,并在系统中留下后门。
八、展开最终攻击,破坏硬盘
在进行周密的布置后,当12月13日到来时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令,当用户重启计算机时,便将用户C盘的所有内容全部删除
“杀手13”病毒的解决方案
--------------------------------------------------------------------------------
快速解毒秘诀:
(1)病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe 可以直接将这个病毒文件删除。
(2)病毒运行时会在注册表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项 中加入键值为:Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。
(3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时,会出现标题为:“非法用户”,内容为:你无权执行该文件”的提示框。如果出现此信息,则说明中了“杀手13”病毒。
(4)如果“我的文档”目录中存在*.doc文件,病毒则会将把自己复制到该目录,命名为:RICHED20.DLL、SHDOCVW.DLL。可以直接将这两个病毒文件删除。
(5)病毒会在管理组中建立一个GUEST用户,并将此用户账号的访问权限提高到管理员的权限,并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。
(6)当12月13日时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。
