高危病毒周末大发作 杀毒众枭围剿“杀手十三” |
转自: 新京报 2003/12/9 |
杀毒众枭周末围剿“杀手十三”
新京报
本报讯 (记者侯磊)
国家反病毒应急处理中心昨天透露,12月13日是“杀手十三”(Worm_Killonce.A)病毒的发作日,病毒发作后将删除C盘根目录下的所有文件,造成严重的破坏。为了防止这种情况的发生,中外杀毒厂商都已经作好了准备,纷纷准备在各自网站上挂出升级补丁。
据悉,“杀手十三”病毒属蠕虫病毒,主要影响Win?鄄dows 9x/NT/2000/ME/XP等系统。蠕虫运行后,将自身复到系统目录以及回收站目录(C:\Recycled)下,并命名为Killonce.exe。同时修改注册表,使得在计算机每次启动时蠕虫得以自动运行。
蠕虫打开C-K驱动器的共享,在局域网中搜索rundll32.exe文件,将其改名为run32.exe,而用蠕虫的副本取代原来的.exe文件;蠕虫修改所有的.exe文件,在其后缀名后添加.sys,然后将其属性修改为隐藏,并用病毒副本代替原来的.exe文件。这其中也包括注册表编辑文件regedit.exe,蠕虫将其更名为regedit.exe.sys,并用蠕虫的副本替代regedit.exe,这样一来,用户在被感染后,就无法正常运行regedit.exe进行对注册表的编辑操作了。
一旦蠕虫发现.doc文件,就在该目录下复制自身并命名为riched20.dll,设置为隐藏属性;发现.htm文件,也在该目录下复制自身并命名为shdocw.dll,设置为隐藏属性,这样一来蠕虫就可以利用Word等文档或其他软件的运行加载自身。
面对来势汹汹的“杀手十三”,几乎所有的杀毒企业都作好了绞杀它的准备。作为中国杀毒企业的老大,瑞星方面介绍:因为“杀手十三”在前一段曾经爆发过,而到目前为止还没有出现太厉害的变种,所以虽然它的危害性很大,但是并不难被查杀,目前的杀毒软件大多可以解决这一问题。
与瑞星一样,中国企业金山、江民和趋势科技等国际厂商都已经严阵以待,他们准备将在周末之前在网站上发布杀毒补丁和手动杀毒工具。
|
