“杀手13”(Worm.Killonce)病毒分析报告

疾隼

2002-12-10 12:26:00 信息源:瑞星公司 一、欺骗性： 病毒程序的图标为windows浏览器的图标，有很大迷惑性。 二、驻留系统： 它将自己复制到系统目录及回收站目录文件名为Killonce.exe %WINDOWS%\killonce.exe 是病毒，驻留系统 %WINDOWS%\Rundll32.exe 是病毒，替换系统文件 %RECYCLED%\killonce.exe 是病毒，隐藏到回收站 在注册表中添加以下键： 1） HKCR\txtfile\shell\open\command\ ： %WINDOWS%\KillOnce.exe %1 用户打开txt文件时，会激活病毒。 2）HKCR\exefile\shell\open\command\ : %WINDOWS%\KILLONCE.EXE "%1" %* HKLM\software\classes\exefile\shell\open\command\ : %WINDOWS%\KILLONCE.EXE "%1" %* 目的有两个，一是双击exe文件时，会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE，病毒会禁止程序的运行，并弹出对话框，显示：“你无权执行该文件!” 3）HKLM\software\Microsoft\Windows\CurrentVersion\Run\: KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %* 作用是随WINDWOS启动而自动启动。 三、传播： 病毒遍历本地硬盘和局域网。 1．如果目录有.DOC文件，则释放RICHED20.DLL，是病毒，当用户打开当前目录下的DOC文件时，病毒被激活。 2.如果目录有.HTM文件，则释放SHDOCVW.DLL， 是病毒。当用户打开当前目录下的HTM文件时，病毒被激活。 3.如果网络共享目录是可写的，则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞，打开或预览时会自动执行附件（病毒体）。 四、对付常见的反病毒软件： 病毒枚举进程，如果进程明中包含KV、 AV、 LOAD 字符串 ，病毒不仅终止该进程，还会删除相应文件。 五、降低系统安全： 执行命令 “Net.Exe LocalGroup Administrators Guest /Add”，把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键，以将C到K之间的硬盘盘符完全共享，共享名称为CX、DX、EX、......、KX。 六、发作： 如果系统时间是12月13日，则在C:\AUTOEXEC.BAT 中写入 “ DELTREE /Y C:\*.*”，当系统再次启动时，C盘上的所有文件将被删除。 七、其他： 如果本地计算机名称以 WANG 开头，不会共享本地硬盘，只是进行传播。 该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件：EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞，自动执行附件。