簡介
病毒名稱:Word文檔殺手(Worm/DocKiller)
病毒類型:蠕蟲
病毒大小:53248位元組
傳播方式:網路
具體技術特徵
1. 病毒運行後,將在用戶計算機中創建以下檔案:
c:\windows\system\sy*.**e, 53248位元組,病毒程式。
%SystemDir%\sy*.**e, 53248位元組,病毒程式。
在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ policie*\**plorer\Run”下添加:“EXPLORER” = “%SystemDir%\sy*.**e”
這樣,在Windows啟動時,病毒就可以自動執行。
3.病毒運行後會顯示下面的對話框:4.病毒一旦發現用戶運行了“Windows任務管理器”, 立即終止運行。這樣可以避免自身進程被用戶發現。
5.遍歷從“A”到“Z”的所有盤符,並搜尋軟碟、隨身碟等可移動存儲設備和網路映射驅動器上的Word文檔(*.doc)檔案。一旦發現了Word文檔,病毒會用自身覆蓋原文檔,造成用戶文檔數據被破壞。由於病毒在複製過程中使用和原文檔相同的檔案名稱,其程式圖示也是Word文檔圖示,所以該病毒隱蔽性較強。建議用戶在打開上述位置的Word文檔前,查看檔案大小和檔案版本屬性,“Word文檔殺手”病毒的特徵如下:
病毒大小:53248位元組
版本屬性:
[公司] = “Clone Software”
[內部名稱] = “我的文檔”
[源檔案名稱] = “我的文檔.exe”
一旦發現與病毒特徵相符的檔案,千萬不要雙擊運行。
6. 病毒在管理員進行修改用戶帳號密碼的操作時還會進行鍵盤記錄,並把記錄的密碼和被感染的機器名保存在名為“mmwj<%s>.sys”的檔案中,其中<%s>是被感染計算機的名稱。這些保存密碼的檔案也會被病毒複製到軟碟、隨身碟和網路驅動器上。
“WORD文檔殺手”(Trojan/DelDoc)新病毒,該病毒一旦發作,可以將office用戶的WORD文檔逐個刪除,所有windows版本用戶無一倖免。
該病毒採用VB語言編寫,病毒主體檔案為 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒運行後,會採用原始的手段,在C糟根目錄下生成病毒檔案 c:\ww.bat, 該檔案內含有批處理程式: dir *.doc /a/b/s >>c:\ww.txt。病毒然後將硬碟裡面的所有的DOC文檔建立一個列表,按照一定的的路徑,逐一將這些DOC檔案移動到Windows下的某個目錄,並將檔案擴展名改為.COM。同時此病毒還能修改註冊表鍵值,以達到隱藏擴展名的目的。
反病毒專家特別指出,此病毒還能自我載入到隨身碟的自動運行檔案里,這樣,一旦用戶將感染了該病毒的隨身碟接入電腦,Word文檔殺手病毒就會自動運行,導致所有WORD文檔神秘失蹤。
但是,反病毒專家也指出, “WORD文檔殺手”病毒還算比較“仁慈”,因為它並沒有徹底刪除DOC檔案,受害用戶可以嘗試到c:\windows\wj\ 這個資料夾中去看看有無同名的.com檔案,如果有的話只需把擴展名改成.doc即可找回丟失的檔案。