Worm.Killonce

基本信息

“殺手13”（Worm.Killonce）病毒檔案

知識庫編號： RSV0512280

內容分類：蠕蟲病毒

關鍵字：殺手13;Worm.Killonce

適用作業系統：Windows 作業系統

適用作業系統補丁版本：全部補丁適用

“殺手13”（Worm.Killonce）病毒檔案

“殺手13”(Worm.Killonce)病毒分析報告

病毒類型：蠕蟲病毒

發作時間：隨機

傳播方式：網路/郵件

感染對象：網路

警惕程度：★★★★

一、藏身系統目錄與資源回收筒

病毒一旦感染計算機，便將自己複製到系統目錄以及資源回收筒並命名為Killonce.exe。病毒程式的圖示為windows瀏覽器的圖示，有很大迷惑性。

%WINDOWS%\killonce.exe 是病毒，駐留系統

%WINDOWS%\Rundll32.exe 是病毒，替換系統檔案

%RECYCLED%\killonce.exe 是病毒，隱藏到資源回收筒

二、加入註冊表中的自啟動項

病毒運行時會在註冊表中的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run項中加入鍵值為：Killonce ，內容為：C:\WINNT\SYSTEM32\KillOnce.exe ，以達到自啟動的目的。

三、修改檔案關聯

當中毒後，在註冊表中添加以下鍵：

1） HKCR\txtfile\shell\open\command\ :%WINDOWS%\KillOnce.exe?? %1

用戶打開txt檔案時，會激活病毒。

2）HKCR\exefile\shell\open\command\ :%WINDOWS%\KILLONCE.EXE "%1" %*

HKLM\software\classes\exefile\shell\open\command\ :%WINDOWS%\KILLONCE.EXE "%1" %*

目的有兩個，一是雙擊exe檔案時，會激活病毒。二是阻止用戶運行REGEDIT.EXE,MSCONFIG.EXE。如果運行REGEDIT.EXE,MSCONFIG.EXE，病毒會禁止程式的運行，病毒會截獲並提示：“非法用戶，你無權執行該檔案”。

四、利用檔案載入自己

病毒遍曆本地硬碟和區域網路。

1．如果目錄有.DOC檔案，病毒會將把自己複製到該目錄，命名為：RICHED20.DLL ，當用戶打開當前目錄下的DOC檔案時，病毒被激活。

2.如果目錄有.HTM檔案，病毒會將把自己複製到該目錄，命名為：SHDOCVW.DLL，當用戶打開當前目錄下的HTM檔案時，病毒被激活。