-
您的位置:首页 → 网络冲浪 → 安全资讯 → “Word文档杀手”技术报告
“Word文档杀手”技术报告
时间:2004/10/15 0:24:00来源:本站整理作者:蓝点我要评论(0)
-
病毒名称:Word文档杀手(Worm/DocKiller)
病毒类型:蠕虫
病毒大小:53248字节
传播方式:网络
该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
具体技术特征如下:
1. 病毒运行后,将在用户计算机中创建以下文件:
c:\windows\system\sys.exe, 53248字节,病毒程序。
%SystemDir%\sys.exe, 53248字节,病毒程序。
2.在注册表中添加下列启动项:
在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
policies\Explorer\Run”下添加:“EXPLORER” = “%SystemDir%\sys.exe”
这样,在Windows启动时,病毒就可以自动执行。
3.病毒运行后会显示下面的对话框:
4.病毒一旦发现用户运行了“Windows任务管理器”, 立即终止运行。这样可以避免自身进程被用户发现。
5.遍历从“A”到“Z”的所有盘符,并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档(*.doc)文件。一旦发现了Word文档,病毒会用自身覆盖原文档,造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名,其程序图标也是Word文档图标,所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前,查看文件大小和文件版本属性,“Word文档杀手”病毒的特征如下:
病毒大小:53248字节
版本属性:
[公司] = “Clone Software”
[内部名称] = “我的文档”
[源文件名] = “我的文档.exe”
一旦发现与病毒特征相符的文件,千万不要双击运行。
6. 病毒在管理员进行修改用户帐号密码的操作时还会进行键盘记录,并把记录的密码和被感染的机器名保存在名为“mmwj
