於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒“殺手13”。這個病毒構思巧妙、功能設置完備、潛伏和傳染能力極強、並具備對抗反病毒軟件的能力,是今年截獲的又一個“智能型”惡性病毒,也是今年發現的最具“殺傷力”的惡性病毒。
“殺手13”(worm.killonce)病毒分析報告
--------------------------------------------------------------------------------
一、欺騙性:
病毒程序的圖標為windows瀏覽器的圖標,有很大迷惑性。
二、駐留係統:
它將自己復製到係統目錄及回收站目錄文件名為killonce.exe
%windows%killonce.exe 是病毒,駐留係統
%windows%
undll32.exe 是病毒,替換係統文件
%recycled%killonce.exe 是病毒,隱藏到回收站
在註册表中添加以下鍵:
1) hkcr xtfileshellopencommand :
%windows%killonce.exe %1
用戶打開txt文件時,會激活病毒。
2)hkcrexefileshellopencommand :
%windows%killonce.exe "%1" %*
hklmsoftwareclassesexefileshellopencommand :
%windows%killonce.exe "%1" %*
目的有兩個,一是雙擊exe文件時,會激活病毒。二是阻止用戶運行regedit.exe,msconfig.exe。如果運行 regedit.exe,msconfig.exe,病毒會禁止程序的運行,並彈出對話框,顯示:“你無權執行該文件!”
3)hklmsoftwaremicrosoftwindowscurrentversion
un:
killonce : %windows%killonce.exe "%1" %*
作用是隨windwos啓動而自動啓動。
三、傳播:
病毒遍歷本地硬盤和局域網。
1.如果目錄有.doc文件,則釋放riched20.dll,是病毒,當用戶打開當前目錄下的doc文件時,病毒被激活。
2.如果目錄有文件,則釋放shdocvw.dll, 是病毒。當用戶打開當前目錄下的htm文件時,病毒被激活。
3.如果網絡共享目錄是可寫的,則試圖在該目錄下創建一個email文件。該郵件利用係統的ie漏洞,打開或預覽時會自動執行附件(病毒體)。
四、對付常見的反病毒軟件:
病毒枚舉進程,如果進程明中包含kv、 av、 load 字符串 ,病毒不僅終止該進程,還會刪除相應文件。
五、降低係統安全:
執行命令 “net.exelocalgroup administrators guest /add”,把guest用戶權限提升為管理員權限。刪除hklmsoftwaremicrosoftwindowscurrentversion
etworklanman下所有鍵。然後添加新的鍵,以將c到k之間的硬盤盤符完全共享,共享名稱為cx、dx、ex、......、kx。
六、發作:
如果係統時間是12月13日,則在c:autoexec.bat 中寫入
“ deltree /y c:*.*”,當係統再次啓動時,c盤上的所有文件將被刪除。
七、其他:
如果本地計算機名稱以 wang 開頭,不會共享本地硬盤,衹是進行傳播。
該病毒中包含關於郵件的代碼。估計以後的版本會通過郵件傳播。郵件中包含一個附件:explorer.exe ,其實是該病毒。郵件利用outlook的漏洞,自動執行附件。
12月13日將刪除c盤全部文件的“殺手13”病毒
--------------------------------------------------------------------------------
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網絡/郵件
感染對象:網絡
警惕程度:★★★★
於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒--“殺手13”。這個病毒構思巧妙、功能設置完備、潛伏和傳染能力極強、並具備對抗反病毒軟件的能力,是今年截獲的又一個“智能型”惡性病毒,也是今年發現的最具“殺傷力”的惡性病毒。
此病毒有如下幾個特性:
一、藏身係統目錄與回收站
病毒一旦感染計算機,便將自己復製到係統目錄以及回收站並命名為killonce.exe。
二、加入註册表中的自啓動項
病毒運行時會在註册表中的:hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un項中加入鍵值為:killonce ,內容為:c:winntsystem32killonce.exe ,以達到自啓動的目的。
三、使用戶無法使用註册表相關工具
當中毒後,病毒會通過修改exefile,txtfile的opencommand方式,使用戶無法使用regedit.exe與msconfig.exe註册表相關工具.如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,病毒會截獲並提示:“非法用戶,你無權執行該文件”。
四、利用word加載自己
病毒通過讀取註册表得係統當前用戶的“我的文檔”目錄,如果此目錄裏存在*.doc文件,則病毒會將把自己復製到該目錄,命名為:riched20.dll shdocvw.dll,當word打開這些文檔時,便會將這兩個病毒文件加載到內存中。
五、共享係統盤,對抗反病毒軟件
當病毒進入內存後,便將係統盤設為共享,使局域網內的其他用戶可以輕易修改該用戶的係統設置,並竊取其機密文。病毒還會生成多綫程,其中一個綫程休眠200毫秒就遍歷一次係統進程列表,如果找到它可以識別的反病毒軟件的進程便將之殺掉,使這些殺毒軟件失效。
六、生成病毒郵件,局域網傳播。
病毒還會進行瘋狂局域網傳播,病毒會遍歷局域網,將自己復製到網內共享可寫目錄,並在此目錄下生成一個可以自啓動的病毒郵件,使用戶中招。
七、利用net命令給係統開後門
病毒會每隔1分鐘便運行“net.exe localgroup administrators guest /add”命令一次,將普通用戶(guest)賬號的訪問權限提高到管理員的權限,並在係統中留下後門。
八、展開最終攻擊,破壞硬盤
在進行周密的佈置後,當12月13日到來時,病毒會在autoexec.bat文件中加入deltree /y c:*.*的命令,當用戶重啓計算機時,便將用戶c盤的所有內容全部刪除
“殺手13”病毒的解决方案
--------------------------------------------------------------------------------
快速解毒秘訣:
(1)病毒會將自己復製到係統目錄以及回收站並命名為killonce.exe 可以直接將這個病毒文件刪除。
(2)病毒運行時會在註册表中的:hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un項 中加入鍵值為:killonce ,內容為:c:winntsystem32killonce.exe 的自啓動鍵。可以直接將此註册表鍵值刪除。
(3)如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,會出現標題為:“非法用戶”,內容為:你無權執行該文件”的提示框。如果出現此信息,則說明中了“殺手13”病毒。
(4)如果“我的文檔”目錄中存在*.doc文件,病毒則會將把自己復製到該目錄,命名為:riched20.dll、shdocvw.dll。可以直接將這兩個病毒文件刪除。
(5)病毒會在管理組中建立一個guest用戶,並將此用戶賬號的訪問權限提高到管理員的權限,並在係統中留下後門。網管員可以據此判斷是否中了“殺手13”病毒。
(6)當12月13日時,病毒會在autoexec.bat文件中加入deltree /y c:*.*的命令。可以直接將autoexec.bat中的以上內容直接刪除。 |
|
|