杀手13来啦！！（瑞星提示）

redenginer

杀手13（Worm.KillOnce）病毒档案
文章出处：瑞星公司     作者：
11月14日被瑞星公司率先截获的一智能型新病毒：杀手13（Worm.KillOnce），日前在网
络上疯狂传播，它具有极强的攻击局域网的能力，并且极难清除，请计算机用户小心。

警惕程度：★★★★
发作时间：12月13日
病毒类型：蠕虫病毒
传播方式：网络
感染对象：网络
病毒大小：81,920字节
病毒介绍：
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。它运行时会将自
身写入系统目录及回收站，并通过修改注册表进行自启动，同时在局域网进行疯狂传播
，建立多个线程，干掉已知的反病毒软件，并用NET命令打开局域网上计算机的后门。1
2月13日，病毒爆发时，还会给被感染的计算机带来毁灭性的攻击：删除C盘全部目录和
所有文件！
病毒的发现与清除：
此病毒会有如下特征，如果用户发现计算机中有这些特征，则很有可能中了此病毒。
一、 病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe；
二、 病毒运行时会在注册表中的： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Window
s\\CurrentVersion\\Run项 中加入键值为：Killonce ，内容为：C:\\WINNT\\SYSTEM32\\Ki
llOnce.exe 的自启动键。；
三、 如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法
用户”，内容为：你无权执行该文件” 的提示框；
四、 如果“我的文档”目录中存在*.doc文件，病毒则会将把自己复制到该目录，命名
为：RICHED20.DLL SHDOCVW.DLL；
五、 病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问权限提高到管理员
的权限，并在系统中留下后门；
六、 当12月13日时，病毒会在autoexec.bat文件中加入deltree /y c:\\*.*的命令。
用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“杀手13（Worm
.KillOnce）”病毒，用户可以将病毒文件直接删除、将注册表中的病毒键值删除，来消
除病毒的影响，如果用户对注册表不太熟悉的话，也可以到瑞星网站下载注册表清除工
具，最好还是用瑞星杀毒软件2003版的最新版本进行彻底清除。
为避免用户遭受损失，瑞星公司已截获此病毒并进行了紧急升级，瑞星杀毒软件15.09及
以上的版本可以自动截获并清除此病毒，望广大用户及时升级。目前瑞星用户只需及时
升级手中的软件即可彻底拦截“杀手13（Worm.KillOnce）”病毒。