jì shù > shā shǒu 13” bìng dú



yú 11 yuè 14 rì xià wǔ bèi ruì xīng shǒu cì jié huò de yī gè jí dù wēi xiǎn de 'è xìng rú chóng bìng dú “ shā shǒu 13”。 zhè gè bìng dú gòu sī qiǎo miào、 gōng néng shè zhì wán bèi、 qián fú hé chuán rǎn néng lì jí qiáng、 bìng jù bèi duì kàng fǎn bìng dú ruǎn jiàn de néng lì， shì jīn nián jié huò de yòu yī gè“ zhì néng xíng” è xìng bìng dú， yě shì jīn nián fā xiàn de zuì jù“ shā shāng lì” de 'è xìng bìng dú。 　　“ shā shǒu 13” (worm.killonce) bìng dú fēn xī bào gào 　　-------------------------------------------------------------------------------- 　　 yī、 qī piàn xìng： 　　 bìng dú chéng xù de tú biāo wéi windows liú lǎn qì de tú biāo， yòu hěn dà mí huò xìng。 　　 èr、 zhù liú xì tǒng： 　　 tā jiāng zì jǐ fù zhì dào xì tǒng mù lù jí huí shōu zhàn mù lù wén jiàn míng wéi killonce.exe 　　%windows%killonce.exe shì bìng dú， zhù liú xì tǒng 　　%windows% undll32.exe shì bìng dú， tì huàn xì tǒng wén jiàn 　　%recycled%killonce.exe shì bìng dú， yǐn cáng dào huí shōu zhàn 　　 zài zhù cè biǎo zhōng tiān jiā yǐ xià jiàn： 　　1） hkcr xtfileshellopencommand： 　　%windows%killonce.exe%1 　　 yòng hù dǎ kāi txt wén jiàn shí， huì jī huó bìng dú。 　　2） hkcrexefileshellopencommand: 　　%windows%killonce.exe"%1"%* 　　hklmsoftwareclassesexefileshellopencommand: 　　%windows%killonce.exe"%1"%* 　　 mùdì yòu liǎng gè， yī shì shuāng jī exe wén jiàn shí， huì jī huó bìng dú。 èr shì zǔ zhǐ yòng hù yùn xíng regedit.exe,msconfig.exe。 rú guǒ yùn xíng regedit.exe,msconfig.exe， bìng dú huì jìn zhǐ chéng xù de yùn xíng， bìng dàn chū duì huà kuàng， xiǎn shì：“ nǐ wú quán zhí xíng gāi wén jiàn !” 　　3） hklmsoftwaremicrosoftwindowscurrentversion un: 　　killonce:%windows%killonce.exe"%1"%* 　　 zuò yòng shì suí windwos qǐ dòng 'ér zì dòng qǐ dòng。 　　 sān、 chuán bō： 　　 bìng dú biàn lì běn dì yìng pán hé jú yù wǎng。 　　1 ． rú guǒ mù lù yòu .doc wén jiàn， zé shì fàng riched20.dll， shì bìng dú， dāng yòng hù dǎ kāi dāng qián mù lù xià de doc wén jiàn shí， bìng dú bèi jī huó。 　　2. rú guǒ mù lù yòu wén jiàn， zé shì fàng shdocvw.dll， shì bìng dú。 dāng yòng hù dǎ kāi dāng qián mù lù xià de htm wén jiàn shí， bìng dú bèi jī huó。 　　3. rú guǒ wǎng luò gòng xiǎng mù lù shì kě xiě de， zé shì tú zài gāi mù lù xià chuàng jiàn yī gè email wén jiàn。 gāi yóu jiàn lì yòng xì tǒng de ie lòu dòng， dǎ kāi huò yù lǎn shí huì zì dòng zhí xíng fù jiàn（ bìng dú tǐ）。 　　 sì、 duì fù cháng jiàn de fǎn bìng dú ruǎn jiàn： 　　 bìng dú méi jǔ jìn chéng， rú guǒ jìn chéng míng zhōng bāo hán kv、 av、 load zì fú chuàn， bìng dú bù jǐn zhōng zhǐ gāi jìn chéng， hái huì shān chú xiāng yìng wén jiàn。 　　 wǔ、 jiàng dī xì tǒng 'ān quán： 　　 zhí xíng mìng lìng“ net.exelocalgroupadministratorsguest/add”， bǎ guest yòng hù quán xiàn tí shēng wéi guǎn lǐ yuán quán xiàn。 shān chú hklmsoftwaremicrosoftwindowscurrentversion 　　etworklanman xià suǒ yòu jiàn。 rán hòu tiān jiā xīn de jiàn， yǐ jiāng c dào k zhī jiān de yìng pán pán fú wán quán gòng xiǎng， gòng xiǎng míng chēng wéi cx、 dx、 ex、 ......、 kx。 　　 liù、 fā zuò： 　　 rú guǒ xì tǒng shí jiān shì 12 yuè 13 rì， zé zài c:autoexec.bat zhōng xiě rù 　　“ deltree/yc:*.*”， dāng xì tǒng zài cì qǐ dòng shí， c pán shàng de suǒ yòu wén jiàn jiāng bèi shān chú。 　　 qī、 qí tā： 　　 rú guǒ běn dì jì suàn jī míng chēng yǐ wang kāi tóu， bù huì gòng xiǎng běn dì yìng pán， zhǐ shì jìn xíng chuán bō。 　　 gāi bìng dú zhōng bāo hán guān yú yóu jiàn de dài mǎ。 gū jì yǐ hòu de bǎn běn huì tōng guò yóu jiàn chuán bō。 yóu jiàn zhōng bāo hán yī gè fù jiàn： explorer.exe, qí shí shì gāi bìng dú。 yóu jiàn lì yòng outlook de lòu dòng， zì dòng zhí xíng fù jiàn。 　　12 yuè 13 rì jiāng shān chú c pán quán bù wén jiàn de“ shā shǒu 13” bìng dú 　　-------------------------------------------------------------------------------- 　　 bìng dú lèi xíng： rú chóng bìng dú 　　 fā zuò shí jiān： suí jī 　　 chuán bō fāng shì： wǎng luò / yóu jiàn 　　 gǎn rǎn duì xiàng： wǎng luò 　　 jǐng tì chéng dù： ★★★★ 　　 yú 11 yuè 14 rì xià wǔ bèi ruì xīng shǒu cì jié huò de yī gè jí dù wēi xiǎn de 'è xìng rú chóng bìng dú --“ shā shǒu 13”。 zhè gè bìng dú gòu sī qiǎo miào、 gōng néng shè zhì wán bèi、 qián fú hé chuán rǎn néng lì jí qiáng、 bìng jù bèi duì kàng fǎn bìng dú ruǎn jiàn de néng lì， shì jīn nián jié huò de yòu yī gè“ zhì néng xíng” è xìng bìng dú， yě shì jīn nián fā xiàn de zuì jù“ shā shāng lì” de 'è xìng bìng dú。 　　 cǐ bìng dú yòu rú xià jǐ gè tè xìng： 　　 yī、 cáng shēn xì tǒng mù lù yǔ huí shōu zhàn 　　 bìng dú yī dàn gǎn rǎn jì suàn jī， biàn jiāng zì jǐ fù zhì dào xì tǒng mù lù yǐ jí huí shōu zhàn bìng mìng míng wéi killonce.exe。 　　 èr、 jiā rù zhù cè biǎo zhōng de zì qǐ dòng xiàng 　　 bìng dú yùn xíng shí huì zài zhù cè biǎo zhōng de： hkey_local_machinesoftwaremicrosoftwindowscurrentversion un xiàng zhōng jiā rù jiàn zhí wéi： killonce， nèi róng wéi： c:winntsystem32killonce.exe， yǐ dá dào zì qǐ dòng de mùdì。 　　 sān、 shǐ yòng hù wú fǎ shǐ yòng zhù cè biǎo xiāng guān gōng jù 　　 dāng zhōng dú hòu， bìng dú huì tōng guò xiū gǎi exefile,txtfile de opencommand fāng shì， shǐ yòng hù wú fǎ shǐ yòng regedit.exe yǔ msconfig.exe zhù cè biǎo xiāng guān gōng jù . rú guǒ zhòngdú hòu yòng hù yùn xíng regedit.exe,msconfig.exe děng gōng jù shí， bìng dú huì jié huò bìng tí shì：“ fēi fǎ yòng hù， nǐ wú quán zhí xíng gāi wén jiàn”。 　　 sì、 lì yòng word jiā zài zì jǐ 　　 bìng dú tōng guò dú qǔ zhù cè biǎo dé xì tǒng dāng qián yòng hù de“ wǒ de wén dàng” mù lù， rú guǒ cǐ mù lù lǐ cún zài *.doc wén jiàn， zé bìng dú huì jiāng bǎ zì jǐ fù zhì dào gāi mù lù， mìng míng wéi： riched20.dllshdocvw.dll， dāng word dǎ kāi zhè xiē wén dàng shí， biàn huì jiāng zhè liǎng gè bìng dú wén jiàn jiā zài dào nèi cún zhōng。 　　 wǔ、 gòng xiǎng xì tǒng pán， duì kàng fǎn bìng dú ruǎn jiàn 　　 dāng bìng dú jìn rù nèi cún hòu， biàn jiāng xì tǒng pán shè wéi gòng xiǎng， shǐ jú yù wǎng nèi de qí tā yòng hù kě yǐ qīng yì xiū gǎi gāi yòng hù de xì tǒng shè zhì， bìng qiè qǔ qí jī mì wén。 bìng dú hái huì shēng chéng duō xiàn chéng， qí zhōng yī gè xiàn chéng xiū mián 200 háo miǎo jiù biàn lì yī cì xì tǒng jìn chéng liè biǎo， rú guǒ zhǎo dào tā kě yǐ shí bié de fǎn bìng dú ruǎn jiàn de jìn chéng biàn jiāng zhī shā diào， shǐ zhè xiē shā dú ruǎn jiàn shī xiào。 　　 liù、 shēng chéng bìng dú yóu jiàn， jú yù wǎng chuán bō。 　　 bìng dú hái huì jìn xíng fēng kuáng jú yù wǎng chuán bō， bìng dú huì biàn lì jú yù wǎng， jiāng zì jǐ fù zhì dào wǎng nèi gòng xiǎng kě xiě mù lù， bìng zài cǐ mù lù xià shēng chéng yī gè kě yǐ zì qǐ dòng de bìng dú yóu jiàn， shǐ yòng hù zhōng zhāo。 　　 qī、 lì yòng net mìng lìng gěi xì tǒng kāi hòu mén 　　 bìng dú huì měi gé 1 fēn zhōng biàn yùn xíng“ net.exelocalgroupadministratorsguest/add” mìng lìng yī cì， jiāng pǔ tōng yòng hù（ guest） zhàng hào de fǎng wèn quán xiàn tí gāo dào guǎn lǐ yuán de quán xiàn， bìng zài xì tǒng zhōng liú xià hòu mén。 　　 bā、 zhǎn kāi zuì zhōng gōng jī， pò huài yìng pán 　　 zài jìn xíng zhōu mì de bù zhì hòu， dāng 12 yuè 13 rì dào lái shí， bìng dú huì zài autoexec.bat wén jiàn zhōng jiā rù deltree/yc:*.* de mìng lìng， dāng yòng hù zhòng qǐ jì suàn jī shí， biàn jiāng yòng hù c pán de suǒ yòu nèi róng quán bù shān chú 　　 　　“ shā shǒu 13” bìng dú de jiě jué fāng 'àn 　　-------------------------------------------------------------------------------- 　　 kuài sù jiě dú mì jué： 　　(1) bìng dú huì jiāng zì jǐ fù zhì dào xì tǒng mù lù yǐ jí huí shōu zhàn bìng mìng míng wéi killonce.exe kě yǐ zhí jiē jiāng zhè gè bìng dú wén jiàn shān chú。 　　 　　(2) bìng dú yùn xíng shí huì zài zhù cè biǎo zhōng de： hkey_local_machinesoftwaremicrosoftwindowscurrentversion un xiàng zhōng jiā rù jiàn zhí wéi： killonce， nèi róng wéi： c:winntsystem32killonce.exe de zì qǐ dòng jiàn。 kě yǐ zhí jiē jiāng cǐ zhù cè biǎo jiàn zhí shān chú。 　　(3) rú guǒ zhòngdú hòu yòng hù yùn xíng regedit.exe,msconfig.exe děng gōng jù shí， huì chū xiàn biāo tí wéi：“ fēi fǎ yòng hù”， nèi róng wéi： nǐ wú quán zhí xíng gāi wén jiàn” de tí shì kuàng。 rú guǒ chū xiàn cǐ xìn xī， zé shuō míng zhōng liǎo“ shā shǒu 13” bìng dú 。 　　 　　(4) rú guǒ“ wǒ de wén dàng” mù lù zhōng cún zài *.doc wén jiàn， bìng dú zé huì jiāng bǎ zì jǐ fù zhì dào gāi mù lù， mìng míng wéi： riched20.dll、 shdocvw.dll。 kě yǐ zhí jiē jiāng zhè liǎng gè bìng dú wén jiàn shān chú。 　　(5) bìng dú huì zài guǎn lǐ zǔ zhōng jiàn lì yī gè guest yòng hù， bìng jiāng cǐ yòng hù zhàng hào de fǎng wèn quán xiàn tí gāo dào guǎn lǐ yuán de quán xiàn， bìng zài xì tǒng zhōng liú xià hòu mén。 wǎng guǎn yuán kě yǐ jù cǐ pàn duàn shì fǒu zhōng liǎo“ shā shǒu 13” bìng dú 。 　　(6) dāng 12 yuè 13 rì shí， bìng dú huì zài autoexec.bat wén jiàn zhōng jiā rù deltree/yc:*.* de mìng lìng。 kě yǐ zhí jiē jiāng autoexec.bat zhōng de yǐ shàng nèi róng zhí jiē shān chú。