Win32.Kilonce

2008-02-23 09:30:04来源：互联网阅读 ()

病毒名称: Win32.Kilonce 类别：蠕虫病毒资料：技术特征：

该蠕虫通过共享磁盘传播，使用了几个“尼姆达”病毒曾使用过的技巧，只不过它仅通过共享网络传播，不会借助电子邮件。

病毒运行后，会在同一磁盘上的Windows及"Recycled目录下生成病毒副本，如：

C:WINDOWSKILLONCE.EXE

C:RECYCLEDKILLONCE.EXE

为了运行蠕虫，它会在注册表中设置如下键值：

HKCRexefileshellopencommand(default)="％Windows％KILLONCE.EXE "％1" ％*"

HKLMsoftwareclassesexefileshellopencommand(default)="％Windows％KILLONCE.EXE "％1" ％*"

HKCR xtfileshellopencommand(default)="％Recycled％KILLONCE.EXE ％Windows％NotePad.exe ％1"

HKLMsoftwareMicrosoftWindowsCurrentVersionRunKillOnce="％Windows％KILLONCE.EXE"

上述设置使得病毒在Windows启动，以及任何可执行文件或文本文件打开时，病毒会自动运行。

蠕虫能过遍历网络共享磁盘来传播自己，它会搜索WindowsRunDll32.exe文件，假如找到，会更名为Run32.Exe，并用病毒副本取代原文件。同时蠕虫还会替换注册表程序REGEDIT.EXE，将原文件改名为REGEDIT.EXE.sys。

若此蠕虫找到任何含有.doc文件的子目录，它会在此目录下生成RICHED20.DLL文件。假如找到含有.htm文件的目录，则它会生成SHDOCVW.DLL。这样做的目的是为了在用户打开.DOC或.HTM文件时，病毒所生成的DLL文件能够被外部程序（如Word或IE）装载。而任何扩展名为".EML"的文件会被删除。

另外，此蠕虫还会搜索名叫LOAD.EXE或含有"KV"或"AV"字符的进程，一旦找到，它会终止这些进程且删除其程序。

在Windows NT/2000/XP系统上，该蠕虫还会添加"Guest"帐户到本地管理员组。

若当前系统日期为12月13日，蠕虫会添加如下命令行到系统的自动批处理文件末尾@DELTREE /Y C:*.*，也即会删除C盘根目录下的所有文件夹及文件。

病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：别名：W32.HLLW.Kilonce, Win32/Killonce.Worm, W32/Kilone.a.worm

借助共享网络传播高危害蠕虫Kilonce现身。
发现日期： 2002-8-20

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有