于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。
“杀手13”(worm.killonce)病毒分析报告
--------------------------------------------------------------------------------
一、欺骗性:
病毒程序的图标为windows浏览器的图标,有很大迷惑性。
二、驻留系统:
它将自己复制到系统目录及回收站目录文件名为killonce.exe
%windows%killonce.exe 是病毒,驻留系统
%windows%
undll32.exe 是病毒,替换系统文件
%recycled%killonce.exe 是病毒,隐藏到回收站
在注册表中添加以下键:
1) hkcr xtfileshellopencommand :
%windows%killonce.exe %1
用户打开txt文件时,会激活病毒。
2)hkcrexefileshellopencommand :
%windows%killonce.exe "%1" %*
hklmsoftwareclassesexefileshellopencommand :
%windows%killonce.exe "%1" %*
目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行regedit.exe,msconfig.exe。如果运行 regedit.exe,msconfig.exe,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!”
3)hklmsoftwaremicrosoftwindowscurrentversion
un:
killonce : %windows%killonce.exe "%1" %*
作用是随windwos启动而自动启动。
三、传播:
病毒遍历本地硬盘和局域网。
1.如果目录有.doc文件,则释放riched20.dll,是病毒,当用户打开当前目录下的doc文件时,病毒被激活。
2.如果目录有文件,则释放shdocvw.dll, 是病毒。当用户打开当前目录下的htm文件时,病毒被激活。
3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的ie漏洞,打开或预览时会自动执行附件(病毒体)。
四、对付常见的反病毒软件:
病毒枚举进程,如果进程明中包含kv、 av、 load 字符串 ,病毒不仅终止该进程,还会删除相应文件。
五、降低系统安全:
执行命令 “net.exelocalgroup administrators guest /add”,把guest用户权限提升为管理员权限。删除hklmsoftwaremicrosoftwindowscurrentversion
etworklanman下所有键。然后添加新的键,以将c到k之间的硬盘盘符完全共享,共享名称为cx、dx、ex、......、kx。
六、发作:
如果系统时间是12月13日,则在c:autoexec.bat 中写入
“ deltree /y c:*.*”,当系统再次启动时,c盘上的所有文件将被删除。
七、其他:
如果本地计算机名称以 wang 开头,不会共享本地硬盘,只是进行传播。
该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:explorer.exe ,其实是该病毒。邮件利用outlook的漏洞,自动执行附件。
12月13日将删除c盘全部文件的“杀手13”病毒
--------------------------------------------------------------------------------
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络/邮件
感染对象:网络
警惕程度:★★★★
于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。
此病毒有如下几个特性:
一、藏身系统目录与回收站
病毒一旦感染计算机,便将自己复制到系统目录以及回收站并命名为killonce.exe。
二、加入注册表中的自启动项
病毒运行时会在注册表中的:hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un项中加入键值为:killonce ,内容为:c:winntsystem32killonce.exe ,以达到自启动的目的。
三、使用户无法使用注册表相关工具
当中毒后,病毒会通过修改exefile,txtfile的opencommand方式,使用户无法使用regedit.exe与msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时,病毒会截获并提示:“非法用户,你无权执行该文件”。
四、利用word加载自己
病毒通过读取注册表得系统当前用户的“我的文档”目录,如果此目录里存在*.doc文件,则病毒会将把自己复制到该目录,命名为:riched20.dll shdocvw.dll,当word打开这些文档时,便会将这两个病毒文件加载到内存中。
五、共享系统盘,对抗反病毒软件
当病毒进入内存后,便将系统盘设为共享,使局域网内的其他用户可以轻易修改该用户的系统设置,并窃取其机密文。病毒还会生成多线程,其中一个线程休眠200毫秒就遍历一次系统进程列表,如果找到它可以识别的反病毒软件的进程便将之杀掉,使这些杀毒软件失效。
六、生成病毒邮件,局域网传播。
病毒还会进行疯狂局域网传播,病毒会遍历局域网,将自己复制到网内共享可写目录,并在此目录下生成一个可以自启动的病毒邮件,使用户中招。
七、利用net命令给系统开后门
病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次,将普通用户(guest)账号的访问权限提高到管理员的权限,并在系统中留下后门。
八、展开最终攻击,破坏硬盘
在进行周密的布置后,当12月13日到来时,病毒会在autoexec.bat文件中加入deltree /y c:*.*的命令,当用户重启计算机时,便将用户c盘的所有内容全部删除
“杀手13”病毒的解决方案
--------------------------------------------------------------------------------
快速解毒秘诀:
(1)病毒会将自己复制到系统目录以及回收站并命名为killonce.exe 可以直接将这个病毒文件删除。
(2)病毒运行时会在注册表中的:hkey_local_machinesoftwaremicrosoftwindowscurrentversion
un项 中加入键值为:killonce ,内容为:c:winntsystem32killonce.exe 的自启动键。可以直接将此注册表键值删除。
(3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时,会出现标题为:“非法用户”,内容为:你无权执行该文件”的提示框。如果出现此信息,则说明中了“杀手13”病毒。
(4)如果“我的文档”目录中存在*.doc文件,病毒则会将把自己复制到该目录,命名为:riched20.dll、shdocvw.dll。可以直接将这两个病毒文件删除。
(5)病毒会在管理组中建立一个guest用户,并将此用户账号的访问权限提高到管理员的权限,并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。
(6)当12月13日时,病毒会在autoexec.bat文件中加入deltree /y c:*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。 |
|
|