杭州日报 | 都市快报 | 每日商报 | E时代周报| 风景名胜 | 休闲杂志 | 萧 山 网 | 综合频道 | 明珠频道 | 生活频道 | 影视频道 | ENGLISH 

杭州电台 | 西湖之声 | 经济之声 | 影视周报建德新闻桐庐新闻临安新闻 | 上城宣传 | 西湖视窗 | 休 博 会新闻热评 | 媒体论剑

首页  资讯  房产 健康  文学 旅游 短信 求职  数码 财经  汽车 休闲  论坛  商城 分类  彩信 

数码首页 | 业界动态 | 数字杭州 | 评测中心 | 今日报价 | 精品导购 | 硬件资讯 | 商家在线 | 时尚手机 | 网络天地 | 论坛

·
液晶彩电点燃了岁末家电鏖战
·
索尼宽屏VGN-A21C笔记本到货
·
柯达500万像素LS755大幅调价
·
SVA液晶显示器市场全面启动
更多

权威!全面!26款显卡大战3DMark05

·
“杀手13”病毒的解决方案
·
瑞星发布12月13日计算机病毒
·
瑞星发布12月10日计算机病毒
·
12.13-12.19一周计算机病毒
更多
·
一次接纳八名少年将吊销执照
·
数码照相机国家标准明年出台
·
计算机等级考明年采用新大纲
·
电子游戏今后也要贴绿色标签
更多
·
UT斯达康宽带视频在美商用
·
杭州网通推出家用新互动电话
·
西湖数源要打“高科技战争”
·
吴鹰:小灵通明年可以看电视
更多
·
WIN98如何共享2000上的打印机
·
如何解决win98无法正常关机?
·
WindowsXPSP2齐全的激活资料
·
一开机检测就出现的异常现象
更多
首页>>网络天地>>本页

2004年12月13日  09:08:43    杭州网

一、欺骗性:
    病毒程序的图标为windows浏览器的图标,有很大迷惑性。

二、驻留系统:
它将自己复制到系统目录及回收站目录文件名为Killonce.exe
%WINDOWS%\killonce.exe    是病毒,驻留系统
%WINDOWS%\Rundll32.exe   是病毒,替换系统文件
%RECYCLED%\killonce.exe    是病毒,隐藏到回收站

在注册表中添加以下键:
1) HKCR\txtfile\shell\open\command\ :
%WINDOWS%\KillOnce.exe   %1
用户打开txt文件时,会激活病毒。
2)HKCR\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
HKLM\software\classes\exefile\shell\open\command\ :
%WINDOWS%\KILLONCE.EXE "%1" %*
    目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!”
3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\:
KillOnce :   %WINDOWS%\KILLONCE.EXE "%1" %*
    作用是随WINDWOS启动而自动启动。

三、传播:
病毒遍历本地硬盘和局域网。
1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。
2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。
3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。

四、对付常见的反病毒软件:
    病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。

五、降低系统安全:
    执行命令 “Net.Exe  LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。

六、发作:
    如果系统时间是12月13日,则在C:\AUTOEXEC.BAT 中写入
 “ DELTREE /Y C:\*.*”,当系统再次启动时,C盘上的所有文件将被删除。

七、其他:
    如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。
    该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。


来源:瑞星公司    作者:    编辑:赖正河    
【相关报道】
 

网站简介 | 关于我们 | 广告服务 | 帮助信息 | 联系方式

增值电信业务经营许可证:浙B2-20040156 | 广告经营许可证号:3301001000482
杭州网络传媒有限公司版权所有未经授权禁止复制或镜像
法律顾问:浙江六和律师事务所律师 郑金都 冯涛
 
Produced By 大汉网络 大汉版通发布系统