WORD文檔殺手

1. 病毒運行後，將在用戶計算機中創建以下檔案：

c:\windows\system\sy*.**e， 53248位元組，病毒程式。

%SystemDir%\sy*.**e， 53248位元組，病毒程式。2.在註冊表中添加下列啟動項：

自動執行

在“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ policie*\**plorer\Run”下添加：“EXPLORER” = “%SystemDir%\sy*.**e”

這樣，在Windows啟動時，病毒就可以自動執行。

3.病毒運行後會顯示下面的對話框：4.病毒一旦發現用戶運行了“Windows任務管理器”， 立即終止運行。這樣可以避免自身進程被用戶發現。

病毒運行後顯示的對話框

5.遍歷從“A”到“Z”的所有盤符，並搜尋軟碟、隨身碟等可移動存儲設備和網路映射驅動器上的Word文檔（*.doc）檔案。一旦發現了Word文檔，病毒會用自身覆蓋原文檔，造成用戶文檔數據被破壞。由於病毒在複製過程中使用和原文檔相同的檔案名稱，其程式圖示也是Word文檔圖示，所以該病毒隱蔽性較強。建議用戶在打開上述位置的Word文檔前，查看檔案大小和檔案版本屬性，“Word文檔殺手”病毒的特徵如下：

病毒大小：53248位元組

版本屬性：

[公司] = “Clone Software”

[內部名稱] = “我的文檔”

[源檔案名稱] = “我的文檔.exe”

一旦發現與病毒特徵相符的檔案，千萬不要雙擊運行。

6. 病毒在管理員進行修改用戶帳號密碼的操作時還會進行鍵盤記錄，並把記錄的密碼和被感染的機器名保存在名為“mmwj<%s>.sys”的檔案中，其中<%s>是被感染計算機的名稱。這些保存密碼的檔案也會被病毒複製到軟碟、隨身碟和網路驅動器上。

“WORD文檔殺手”（Trojan/DelDoc）新病毒，該病毒一旦發作，可以將office用戶的WORD文檔逐個刪除，所有windows版本用戶無一倖免。

該病毒採用VB語言編寫，病毒主體檔案為 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒運行後，會採用原始的手段，在C糟根目錄下生成病毒檔案 c:\ww.bat， 該檔案內含有批處理程式： dir *.doc /a/b/s >>c:\ww.txt。病毒然後將硬碟裡面的所有的DOC文檔建立一個列表，按照一定的的路徑,逐一將這些DOC檔案移動到Windows下的某個目錄,並將檔案擴展名改為.COM。同時此病毒還能修改註冊表鍵值，以達到隱藏擴展名的目的。

反病毒專家特別指出，此病毒還能自我載入到隨身碟的自動運行檔案里，這樣，一旦用戶將感染了該病毒的隨身碟接入電腦，WORD文檔殺手病毒就會自動運行，導致所有WORD文檔神秘失蹤。

但是，反病毒專家也指出， “WORD文檔殺手”病毒還算比較“仁慈”，因為它並沒有徹底刪除DOC檔案，受害用戶可以嘗試到c:\windows\wj\ 這個資料夾中去看看有無同名的.com檔案，如果有的話只需把擴展名改成.doc即可找回丟失的檔案。