| | “word文檔殺手”(trojan/deldoc)新病毒,該病毒一旦發作,可以將office用戶的word文檔逐個刪除,所有windows版本用戶無一幸免。
該病毒采用vb語言編寫,病毒主體文件為 c:windowsdoc.exe 或者 c:windowsdoc1.exe。病毒運行後,會采用原始的手段,在c盤根目錄下生成病毒文件 c:ww.bat, 該文件內含有批處理程序: dir *.doc /a/b/s >>c:ww.txt。病毒然後將硬盤裏面的所有的doc文檔建立一個列表,按照一定的的路徑,逐一將這些doc文件移動到windows下的某個目錄,並將文件擴展名改為.com。同時此病毒還能修改註册表鍵值,以達到隱藏擴展名的目的。
反病毒專傢特別指出,此病毒還能自我加載到u盤的自動運行文件裏,這樣,一旦用戶將感染了該病毒的u盤接入電腦,word文檔殺手病毒就會自動運行,導致所有word文檔神秘失蹤。
但是,反病毒專傢也指出, “word文檔殺手”病毒還算比較“仁慈”,因為它並沒有徹底刪除doc文件,受害用戶可以嘗試到c:windowswj 這個文件夾中去看看有無同名的.com文件,如果有的話衹需把擴展名改成.doc即可找回丟失的文件。 | | 病毒名稱:word文檔殺手(Worm/DocKiller)
病毒類型:蠕蟲
病毒大小:53248字節
傳播方式:網絡
該病毒運行後會搜索軟盤、U盤等移動存儲磁盤和網絡映射驅動器上的Word文檔(*.doc)文件,並用試圖用自身覆蓋找到的Word文檔,達到傳播的目的,同時也破壞了原有文檔的數據。病毒還會在計算機管理員修改用戶密碼時進行鍵盤記錄,記錄結果也會隨病毒傳播一起被復製。
具體技術特徵如下:
1. 病毒運行後,將在用戶計算機中創建以下文件:
c:windowssystemsy*.**e, 53248字節,病毒程序。
%SystemDir%sy*.**e, 53248字節,病毒程序。
2.在註册表中添加下列啓動項:
在“HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersion policie***plorerRun”下添加:“EXPLORER” = “%SystemDir%sy*.**e”
這樣,在Windows啓動時,病毒就可以自動執行。
3.病毒運行後會顯示下面的對話框:
4.病毒一旦發現用戶運行了“Windows任務管理器”, 立即終止運行。這樣可以避免自身進程被用戶發現。
5.遍歷從“A”到“Z”的所有盤符,並搜索軟盤、U盤等可移動存儲設備和網絡映射驅動器上的Word文檔(*.doc)文件。一旦發現了Word文檔,病毒會用自身覆蓋原文檔,造成用戶文檔數據被破壞。由於病毒在復製過程中使用和原文檔相同的文件名,其程序圖標也是Word文檔圖標,所以該病毒隱蔽性較強。建議用戶在打開上述位置的Word文檔前,查看文件大小和文件版本屬性,“word文檔殺手”病毒的特徵如下:
病毒大小:53248字節
版本屬性:
[公司] = “Clone Software”
[內部名稱] = “我的文檔”
[源文件名] = “我的文檔.exe”
一旦發現與病毒特徵相符的文件,千萬不要雙擊運行。
6. 病毒在管理員進行修改用戶帳號密碼的操作時還會進行鍵盤記錄,並把記錄的密碼和被感染的機器名保存在名為“mmwj<%s>.sys”的文件中,其中<%s>是被感染計算機的名稱。這些保存密碼的文件也會被病毒復製到軟盤、U盤和網絡驅動器上。
“word文檔殺手”(Trojan/DelDoc)新病毒,該病毒一旦發作,可以將office用戶的WORD文檔逐個刪除,所有windows版本用戶無一幸免。
該病毒采用VB語言編寫,病毒主體文件為 c:windowsdoc.exe 或者 c:windowsdoc1.exe。病毒運行後,會采用原始的手段,在C盤根目錄下生成病毒文件 c:ww.bat, 該文件內含有批處理程序: dir *.doc /a/b/s >>c:ww.txt。病毒然後將硬盤裏面的所有的DOC文檔建立一個列表,按照一定的的路徑,逐一將這些DOC文件移動到Windows下的某個目錄,並將文件擴展名改為.COM。同時此病毒還能修改註册表鍵值,以達到隱藏擴展名的目的。
反病毒專傢特別指出,此病毒還能自我加載到U盤的自動運行文件裏,這樣,一旦用戶將感染了該病毒的U盤接入電腦,word文檔殺手病毒就會自動運行,導致所有WORD文檔神秘失蹤。
但是,反病毒專傢也指出, “word文檔殺手”病毒還算比較“仁慈”,因為它並沒有徹底刪除DOC文件,受害用戶可以嘗試到c:windowswj 這個文件夾中去看看有無同名的.com文件,如果有的話衹需把擴展名改成.doc即可找回丟失的文件。 |
|
|