概述
於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒“殺手13”。這個病毒構思巧妙、功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是今年截獲的又一個“智慧型型”惡性病毒,也是今年發現的最具“殺傷力”的惡性病毒。詳細
“殺手13”(Worm.Killonce)病毒分析報告--------------------------------------------------------------------------------
一、欺騙性:
病毒程式的圖示為windows瀏覽器的圖示,有很大迷惑性。
二、駐留系統:
它將自己複製到系統目錄及資源回收筒目錄檔案名稱為Killonce.exe
%WINDOWS%\killonce.exe 是病毒,駐留系統
%WINDOWS%\Rundll32.exe 是病毒,替換系統檔案
%RECYCLED%\killonce.exe 是病毒,隱藏到資源回收筒
在註冊表中添加以下鍵:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe %1
用戶打開txt檔案時,會激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
目的有兩個,一是雙擊exe檔案時,會激活病毒。二是阻止用戶運行REGEDIT.EXE,MSCONFIG.EXE。如果運行 REGEDIT.EXE,MSCONFIG.EXE,病毒會禁止程式的運行,並彈出對話框,顯示:“你無權執行該檔案!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*
作用是隨WINDWOS啟動而自動啟動。
三、傳播:
病毒遍曆本地硬碟和區域網路。
1.如果目錄有.DOC檔案,則釋放riched20.dll,是病毒,當用戶打開當前目錄下的DOC檔案時,病毒被激活。
2.如果目錄有.HTM檔案,則釋放SHDOCVW.DLL, 是病毒。當用戶打開當前目錄下的HTM檔案時,病毒被激活。
3.如果網路已分享資料夾是可寫的,則試圖在該目錄下創建一個email檔案。該郵件利用系統的IE漏洞,打開或預覽時會自動執行附屬檔案(病毒體)。
四、對付常見的反病毒軟體:
病毒枚舉進程,如果進程明中包含KV、 AV、 LOAD 字元串 ,病毒不僅終止該進程,還會刪除相應檔案。
五、降低系統安全:
執行命令 “Net.ExeLocalGroup Administrators Guest /Add”,把Guest用戶許可權提升為管理員許可權。刪除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有鍵。然後添加新的鍵,以將C到K之間的硬碟盤符完全共享,共享名稱為CX、DX、EX、......、KX。
六、發作:
如果系統時間是12月13日,則在C:\AUTOEXEC.BAT 中寫入
“ deltree /Y C:\*.*”,當系統再次啟動時,C糟上的所有檔案將被刪除。
七、其他:
如果本地計算機名稱以 WANG 開頭,不會共享本地硬碟,只是進行傳播。
該病毒中包含關於郵件的代碼。估計以後的版本會通過郵件傳播。郵件中包含一個附屬檔案:EXPLORER.EXE ,其實是該病毒。郵件利用Outlook的漏洞,自動執行附屬檔案。
12月13日將刪除C糟全部檔案的“殺手13”病毒
--------------------------------------------------------------------------------
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路/郵件
感染對象:網路
警惕程度:★★★★
於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒--“殺手13”。這個病毒構思巧妙、功能設定完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是今年截獲的又一個“智慧型型”惡性病毒,也是今年發現的最具“殺傷力”的惡性病毒。
此病毒有如下幾個特性:
一、藏身系統目錄與資源回收筒
病毒一旦感染計算機,便將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe。
二、加入註冊表中的自啟動項
病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe ,以達到自啟動的目的。
三、使用戶無法使用註冊表相關工具
當中毒後,病毒會通過修改exefile,txtfile的open\command方式,使用戶無法使用Regedit.exe與Msconfig.exe註冊表相關工具.如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,病毒會截獲並提示:“非法用戶,你無權執行該檔案”。
四、利用WORD載入自己
病毒通過讀取註冊表得系統當前用戶的“我的文檔”目錄,如果此目錄里存在*.doc檔案,則病毒會將把自己複製到該目錄,命名為:RICHED20.DLL SHDOCVW.DLL,當WORD打開這些文檔時,便會將這兩個病毒檔案載入到記憶體中。
五、共享系統盤,對抗反病毒軟體
當病毒進入記憶體後,便將系統盤設為共享,使區域網路內的其他用戶可以輕易修改該用戶的系統設定,並竊取其機密文。病毒還會生成多執行緒,其中一個執行緒休眠200毫秒就遍歷一次系統進程列表,如果找到它可以識別的反病毒軟體的進程便將之殺掉,使這些防毒軟體失效。
六、生成病毒郵件,區域網路傳播。
病毒還會進行瘋狂區域網路傳播,病毒會遍曆局域網,將自己複製到網內共享可寫目錄,並在此目錄下生成一個可以自啟動的病毒郵件,使用戶中招。
七、利用NET命令給系統開後門
病毒會每隔1分鐘便運行“net.exe localgroup administrators guest /add”命令一次,將普通用戶(guest)賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。
八、展開最終攻擊,破壞硬碟
在進行周密的布置後,當12月13日到來時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令,當用戶重啟計算機時,便將用戶C糟的所有內容全部刪除
“殺手13”病毒的解決方案
--------------------------------------------------------------------------------
快速解毒秘訣:
(1)病毒會將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe 可以直接將這個病毒檔案刪除。
(2)病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項 中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵。可以直接將此註冊表鍵值刪除。
(3)如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,會出現標題為:“非法用戶”,內容為:你無權執行該檔案”的提示框。如果出現此信息,則說明中了“殺手13”病毒。
(4)如果“我的文檔”目錄中存在*.doc檔案,病毒則會將把自己複製到該目錄,命名為:RICHED20.DLL、SHDOCVW.DLL。可以直接將這兩個病毒檔案刪除。
(5)病毒會在管理組中建立一個GUEST用戶,並將此用戶賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。網管員可以據此判斷是否中了“殺手13”病毒。
(6)當12月13日時,病毒會在autoexec.bat檔案中加入deltree /y c:\*.*的命令。可以直接將autoexec.bat中的以上內容直接刪除。
