一、欺骗性: 病毒程序的图标为windows浏览器的图标,有很大迷惑性。
二、驻留系统: 它将自己复制到系统目录及回收站目录文件名为Killonce.exe %WINDOWS%\killonce.exe 是病毒,驻留系统 %WINDOWS%\Rundll32.exe 是病毒,替换系统文件 %RECYCLED%\killonce.exe 是病毒,隐藏到回收站
在注册表中添加以下键: 1) HKCR\txtfile\shell\open\command\ : %WINDOWS%\KillOnce.exe %1 用户打开txt文件时,会激活病毒。 2)HKCR\exefile\shell\open\command\ : %WINDOWS%\KILLONCE.EXE "%1" %* HKLM\software\classes\exefile\shell\open\command\ : %WINDOWS%\KILLONCE.EXE "%1" %* 目的有两个,一是双击exe文件时,会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE,病毒会禁止程序的运行,并弹出对话框,显示:“你无权执行该文件!” 3)HKLM\software\Microsoft\Windows\CurrentVersion\Run\: KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %* 作用是随WINDWOS启动而自动启动。
三、传播: 病毒遍历本地硬盘和局域网。 1.如果目录有.DOC文件,则释放RICHED20.DLL,是病毒,当用户打开当前目录下的DOC文件时,病毒被激活。 2.如果目录有.HTM文件,则释放SHDOCVW.DLL, 是病毒。当用户打开当前目录下的HTM文件时,病毒被激活。 3.如果网络共享目录是可写的,则试图在该目录下创建一个email文件。该邮件利用系统的IE漏洞,打开或预览时会自动执行附件(病毒体)。
四、对付常见的反病毒软件: 病毒枚举进程,如果进程明中包含KV、 AV、 LOAD 字符串 ,病毒不仅终止该进程,还会删除相应文件。
五、降低系统安全: 执行命令 “Net.Exe LocalGroup Administrators Guest /Add”,把Guest用户权限提升为管理员权限。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键,以将C到K之间的硬盘盘符完全共享,共享名称为CX、DX、EX、......、KX。
六、发作: 如果系统时间是12月13日,则在C:\AUTOEXEC.BAT 中写入 “ DELTREE /Y C:\*.*”,当系统再次启动时,C盘上的所有文件将被删除。
七、其他: 如果本地计算机名称以 WANG 开头,不会共享本地硬盘,只是进行传播。 该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附件:EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞,自动执行附件。 |