病毒类型:蠕虫病毒
发作时间:12月13日
传播方式:网络
感染对象:网络
病毒大小:81,920字节
警惕程度:★★★★
病毒介绍:
此病毒可以在Windows 2000、Windows XP等操作系统环境下正常运行。它运行时会将自
身写入系统目录及回收站,并通过修改注册表进行自启动,同时在局域网进行疯狂传播,建
立多个线程,干掉已知的反病毒软件,并用NET命令打开局域网上计算机的后门。12月13日,
病毒爆发时,还会给被感染的计算机带来毁灭性的攻击:删除C盘全部目录和所有文件!
病毒的发现与清除:
此病毒会有如下特征,如果用户发现计算机中有这些特征,则很有可能中了此病毒。
一、病毒会将自己复制到系统目录以及回收站并命名为Killonce.exe
二、病毒运行时会在注册表中的:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入键值为:
Killonce ,内容为:C:\WINNT\SYSTEM32\KillOnce.exe 的自启动键。
三、如果中毒后用户运行regedit.exe,msconfig.exe等工具时,会出现标题为:“非法用户
”,内容为:“你无权执行该文件” 的提示框。
四、如果“我的文档”目录中存在*.doc文件,病毒则会将把自己复制到该目录,命名为:R
ICHED20.DLL和SHDOCVW.DLL。
五、病毒会在管理组中建立一个GUEST用户,并将此用户账号的访问权限提高到管理员的权限
,并在系统中留下后门。
六、当12月13日时,病毒会在autoexec.bat文件中加入deltree /y c:\*.*的命令。