描述
Worm/DocKiller
病毒類型:蠕蟲
病毒大小:53248位元組
傳播方式:網路
“Word文檔殺手”蠕蟲病毒Worm/DocKiller運行後會搜尋軟碟、隨身碟等移動存儲磁碟和網路映射驅動器上的Word文檔(*.doc)檔案,並用試圖用自身覆蓋找到的Word文檔,達到傳播的目的,同時也破壞了原有文檔的數據。病毒還會在計算機管理員修改用戶密碼時進行鍵盤記錄,記錄結果也會隨病毒傳播一起被複製。
具體技術特徵如下:
1. 病毒運行後,將在用戶計算機中創建以下檔案:
c:\windows\system\sys.exe, 53248位元組,病毒程式。
%SystemDir%\sys.exe, 53248位元組,病毒程式。
2. 在註冊表中添加下列啟動項:
【HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run】
“EXPLORER” = “%SystemDir%\sys.exe”
這樣,在Windows啟動時,病毒就可以自動執行。
3. 病毒運行後會顯示標題為版本衝突帶確定按紐的對話框:
內容為:無法打開高版本的Word文檔!
4. 病毒一旦發現用戶運行了“Windows任務管理器”, 立即終止運行。這樣可以避免自身進程被用戶發現。
5. 遍歷從“A”到“Z”的所有盤符,並搜尋軟碟、隨身碟等可移動存儲設備和網路映射驅動器上的Word文檔(*.doc)檔案。一旦發現了Word文檔,病毒會用自身覆蓋原文檔,造成用戶文檔數據被破壞。由於病毒在複製過程中使用和原文檔相同的檔案名稱,其程式圖示也是Word文檔圖示,所以該病毒隱蔽性較強。建議用戶在打開上述位置的Word文檔前,查看檔案大小和檔案版本屬性,“WORD文檔殺手”病毒的特徵如下:
病毒大小:53248位元組
版本屬性:
【公司】= “Clone Software”
【內部名稱】 = “我的文檔”
【源檔案名稱】 = “我的文檔.exe”
一旦發現與病毒特徵相符的檔案,千萬不要雙擊運行。
6. 病毒在管理員進行修改用戶帳號密碼的操作時還會進行鍵盤記錄,並把記錄的密碼和被感染的機器名保存在名為“mmwj<%s>.sys”的檔案中,其中<%s>是被感染計算機的名稱。這些保存密碼的檔案也會被病毒複製到軟碟、隨身碟和網路驅動器上。
