查看:899 回复:4
发表于 2002-11-25 14:13
TA的每日心情 | 奋斗
2014-10-12 08:59 |
|---|
签到天数: 67 天 [LV.6]常住居民II
|
|
|
|
|
|
|
|
|
|
TA的每日心情 | 无聊
2016-2-18 12:58 |
|---|
签到天数: 114 天 [LV.6]常住居民II
|
是不是在12月13日,不开机就不会发作了???
有什么杀毒的可以杀它?? |
|
|
|
|
|
|
|
|
|
TA的每日心情 | 奋斗
2014-10-12 08:59 |
|---|
签到天数: 67 天 [LV.6]常住居民II
|
板凳
楼主 |
发表于 2002-11-25 12:23:34
|
只看该作者
|
对于普通的单机用户,只要升级反病毒软件,就可以清除这个病毒,对于局域网用户来说,问题就不那么简单了 |
|
|
|
|
|
|
|
|
|
TA的每日心情 | 开心
2014-1-3 13:12 |
|---|
签到天数: 1 天 [LV.1]初来乍到
|
以下资料转载自瑞星官方网站病毒库,www.rising.com.cn
病毒分类 WINDOWS下的PE病毒 病毒名称 Worm.KillOnce
别 名 杀手13 病毒长度 0 字节
依赖系统 Windows 传播途径 网络
行为类型 WINDOWS下的蠕虫程序
瑞 星 版 本 号 15.09
将自己复到系统目录及回收站目录文件名为Killonce.exe在注册表中增加run项,修改exefile,txtfile的open\command方式,以达到自动运行并阻止用户的目的。如(当用户中毒后运行regedit.exe,msconfig.exe)病毒将截获并提示“非法用户,你无权执行该文件” 病毒通过读取注册表得系统当前用户的“我的文档”目录。如果里面存在*.doc文件,病毒将把自己复制到该目录文件名为RICHED20.DLL SHDOCVW.DLLT利用word等其它软件 加载病毒将建立一个监视线程,用以对付一些反毒软件病毒还将把系统一些盘加入共享。 病毒发作时(12月13日),将在autoexec.bat中加入deltree /y c:\*.*。
主线程:遍历局域网,将自己复制到网内共享可写目录。并会写入一个自启动的mail文件。病毒每1分钟就运行“net.exe localgroup administrators guest /add”一次。在系统中留下后门。
线程1:该线程sleep 200毫秒就遍历一次系统进程列表。用以对付一些反病毒软件。
档案导语
11月14日下午,瑞星全球反病毒监测网截获一个极度危险的恶性蠕虫病毒,并将其命名为“杀手13”。这个病毒构思巧妙、功能设置完备、潜伏和传染能力极强、并具备对抗反病毒软件的能力,是今年截获的又一个“智能型”恶性病毒,也是今年发现的最具“杀伤力”的恶性病毒。
该病毒具有极强的攻击局域网的能力,并且极难清除,被感染计算机将在12月13日遭受毁灭性攻击:删除C盘全部目录和所有文件。
解决方案
在12月13日前最好将局域网全部断开、用单机版杀毒软件对每台计算机进行彻底查杀,已使用网络版杀毒软件的用户,也有必要在发作日前进行一次全网查杀操作。
将注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run, HKEY_CLASSES_ROOT\Exefile\shell\open\command,HKEY_CLASSES_ROOT\Txtfile\shell\open\command 项中的键值清除。
瑞星建议
瑞星公司反病毒工程师认为,企事业单位的局域网用户将是这个病毒的主要受害者。对于普通的单机用户,只要升级反病毒软件,就可以清除这个病毒,对于局域网用户来说,问题就不那么简单了。
由于“杀手13”病毒充分地利用局域网的共享目录进行潜伏和传播,对于那些没有安装网络版杀毒软件的局域网用户来说,根本无法利用已安装的单机版杀毒软件彻底清除躲藏在局域网各个角落中的“杀手13”。因此,一旦12月13日到来,难免造成惨痛的损失。
瑞星反病毒工程师建议,对于企事业单位的局域网用户来说,如果没有安装网络版杀毒软件,在12月13日前最好将局域网全部断开、用单机版杀毒软件对每台计算机进行彻底查杀,已使用网络版杀毒软件的用户,也有必要在发作日前进行一次全网查杀操作。
备 注
此程序启动后将自己拷贝到系统目录下,并修改注册表的HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run导致系统启动时自动运行此病毒程序修改注册表的 HKEY_CLASSES_ROOT\Exefile\shell\open\command 项,导致用户启动任何一个exe程序时此病毒程序都会运行。
修改注册表的 HKEY_CLASSES_ROOT\Txtfile\shell\open\command 项,导致用户打开任何一个文本文件时此病毒程序都会运行。
此病毒启动后还会锁住注册表的编辑功能,使用户无法运行注册表编辑器对注册表进行编辑。
此病毒的感染方法是将被感染文件的名字后面加一个.sys然后将自己的名字改为被感染文件的源名字。
此病毒还具有很强的局域网传播能力。
此贴由 命运战士 在 2002-11-25 13:36:25 最后编辑 |
|
|
|
|
|
|
|
|
|
|
|
好恐怖~  |
|
|
|
|
|
|
|
|
|
发表于 2002-11-25 11:59:15
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
转播
淘帖
支持
反对
变色卡
