「殺手13」病毒

標籤: 暫無標籤

38

更新時間: 2013-09-03

廣告

惡性蠕蟲病毒「殺手13 」是 一個極度危險的這個病毒構思巧妙、功能設置完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力。

廣告

1 「殺手13」病毒 -概述

於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒「殺手13」。這個病毒構思巧妙、功能設置完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是今年截獲的又一個「智能型」惡性病毒,也是今年發現的最具「殺傷力」的惡性病毒。

2 「殺手13」病毒 -詳細

「殺手13」(Worm.Killonce)病毒分析報告
--------------------------------------------------------------------------------
一、欺騙性:
    病毒程序的圖標為windows瀏覽器的圖標,有很大迷惑性。

二、駐留系統:
它將自己複製到系統目錄及回收站目錄文件名為Killonce.exe
%WINDOWS%\killonce.exe    是病毒,駐留系統
%WINDOWS%\Rundll32.exe   是病毒,替換系統文件
%RECYCLED%\killonce.exe    是病毒,隱藏到回收站

在註冊表中添加以下鍵:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe   %1
用戶打開txt文件時,會激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
    目的有兩個,一是雙擊exe文件時,會激活病毒。二是阻止用戶運行REGEDIT.EXE,MSCONFIG.EXE。如果運行 REGEDIT.EXE,MSCONFIG.EXE,病毒會禁止程序的運行,並彈出對話框,顯示:「你無權執行該文件!」
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce :   %WINDOWS%\KILLONCE.EXE "%1" %*
    作用是隨WINDWOS啟動而自動啟動。

三、傳播:
病毒遍曆本地硬碟和區域網。
1.如果目錄有.DOC文件,則釋放riched20.dll,是病毒,當用戶打開當前目錄下的DOC文件時,病毒被激活。
2.如果目錄有.HTM文件,則釋放SHDOCVW.DLL, 是病毒。當用戶打開當前目錄下的HTM文件時,病毒被激活。
3.如果網路共享目錄是可寫的,則試圖在該目錄下創建一個email文件。該郵件利用系統的IE漏洞,打開或預覽時會自動執行附件(病毒體)。

四、對付常見的反病毒軟體:
    病毒枚舉進程,如果進程明中包含KV、 AV、 LOAD 字元串 ,病毒不僅終止該進程,還會刪除相應文件。
五、降低系統安全:
    執行命令 「Net.Exe  LocalGroup Administrators Guest /Add」,把Guest用戶許可權提升為管理員許可權。刪除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有鍵。然後添加新的鍵,以將C到K之間的硬碟盤符完全共享,共享名稱為CX、DX、EX、......、KX。

六、發作:
    如果系統時間是12月13日,則在C:\AUTOEXEC.BAT 中寫入
「 deltree /Y C:\*.*」,當系統再次啟動時,C盤上的所有文件將被刪除。

七、其他:
    如果本地計算機名稱以 WANG 開頭,不會共享本地硬碟,只是進行傳播。
    該病毒中包含關於郵件的代碼。估計以後的版本會通過郵件傳播。郵件中包含一個附件:EXPLORER.EXE ,其實是該病毒。郵件利用Outlook的漏洞,自動執行附件。



12月13日將刪除C盤全部文件的「殺手13」病毒
--------------------------------------------------------------------------------
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路/郵件
感染對象:網路
警惕程度:★★★★
    於11月14日下午被瑞星首次截獲的一個極度危險的惡性蠕蟲病毒--「殺手13」。這個病毒構思巧妙、功能設置完備、潛伏和傳染能力極強、並具備對抗反病毒軟體的能力,是今年截獲的又一個「智能型」惡性病毒,也是今年發現的最具「殺傷力」的惡性病毒。

此病毒有如下幾個特性:

一、藏身系統目錄與回收站
    病毒一旦感染計算機,便將自己複製到系統目錄以及回收站並命名為Killonce.exe。

二、加入註冊表中的自啟動項
    病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe ,以達到自啟動的目的。

三、使用戶無法使用註冊表相關工具
    當中毒后,病毒會通過修改exefile,txtfile的open\command方式,使用戶無法使用Regedit.exe與Msconfig.exe註冊表相關工具.如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,病毒會截獲並提示:「非法用戶,你無權執行該文件」。

四、利用WORD載入自己
    病毒通過讀取註冊表得系統當前用戶的「我的文檔」目錄,如果此目錄里存在*.doc文件,則病毒會將把自己複製到該目錄,命名為:RICHED20.DLL SHDOCVW.DLL,當WORD打開這些文檔時,便會將這兩個病毒文件載入到內存中。

五、共享系統盤,對抗反病毒軟體
    當病毒進入內存后,便將系統盤設為共享,使區域網內的其他用戶可以輕易修改該用戶的系統設置,並竊取其機密文。病毒還會生成多線程,其中一個線程休眠200毫秒就遍歷一次系統進程列表,如果找到它可以識別的反病毒軟體的進程便將之殺掉,使這些殺毒軟體失效。

六、生成病毒郵件,區域網傳播。
    病毒還會進行瘋狂區域網傳播,病毒會遍歷區域網,將自己複製到網內共享可寫目錄,並在此目錄下生成一個可以自啟動的病毒郵件,使用戶中招。

七、利用NET命令給系統開後門
    病毒會每隔1分鐘便運行「net.exe localgroup administrators guest /add」命令一次,將普通用戶(guest)賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。

八、展開最終攻擊,破壞硬碟
    在進行周密的布置后,當12月13日到來時,病毒會在autoexec.bat文件中加入deltree /y c:\*.*的命令,當用戶重啟計算機時,便將用戶C盤的所有內容全部刪除



 
「殺手13」病毒的解決方案
--------------------------------------------------------------------------------
快速解毒秘訣:

(1)病毒會將自己複製到系統目錄以及回收站並命名為Killonce.exe 可以直接將這個病毒文件刪除。
 
(2)病毒運行時會在註冊表中的:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項 中加入鍵值為:Killonce ,內容為:C:\WINNT\SYSTEM32\KillOnce.exe 的自啟動鍵。可以直接將此註冊表鍵值刪除。
  
(3)如果中毒後用戶運行regedit.exe,msconfig.exe等工具時,會出現標題為:「非法用戶」,內容為:你無權執行該文件」的提示框。如果出現此信息,則說明中了「殺手13」病毒。
 
(4)如果「我的文檔」目錄中存在*.doc文件,病毒則會將把自己複製到該目錄,命名為:RICHED20.DLL、SHDOCVW.DLL。可以直接將這兩個病毒文件刪除。
  
(5)病毒會在管理組中建立一個GUEST用戶,並將此用戶賬號的訪問許可權提高到管理員的許可權,並在系統中留下後門。網管員可以據此判斷是否中了「殺手13」病毒。
  
(6)當12月13日時,病毒會在autoexec.bat文件中加入deltree /y c:\*.*的命令。可以直接將autoexec.bat中的以上內容直接刪除。
 

廣告