U盘杀手
U盘杀手
U盘杀手
该病毒是一个利用U盘等移动设备进行传播的蠕虫。autorun.inf文件一般存在于U盘、MP3、移动硬盘和硬盘各个分区的根目录下,当用户双击U盘等设备的时候,该文件就会利用Windows系统的自动播放功能优先运行autorun.inf文件,而该文件就会立即执行所要加载的病毒程序,从而破坏用户计算机,使用户计算机遭受损失。
病毒名称
Worm.DocKill.b.53248
病毒类型
蠕虫病毒
危害程度
中
影响系统
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000, Windows XP, Windows Server 2003
病毒危害
1. 把病毒文件拷贝到多个目录中
2. 修改系统注册表的启动项
3. 通过软盘和U盘进行传播
4. 导出软盘和U盘中的DOC文件名
5. 把生成的ww.txt文件复制到指定目录
感染形式
这是一个通过3.5英寸软盘和可移动磁盘进行传播的蠕虫病毒。
病毒运行时,首先将自己拷贝到多个目录中,并添加启动项,使自己能随开机启动。该病毒一旦发现有3.5英寸软盘或可移动磁盘,先将3.5英寸软盘或可移动磁盘中的doc文件名全部导出到c:ww.txt,然后拷贝ww.txt所列的文件到c:windowswj目录下,后缀名为.com。该病毒还将自身副本拷贝到3.5英寸软盘和可移动磁盘中,并取名为win32.exe或win33.exe,以达到传播的目的。
解决方法
主流杀毒软件都已可以清除此病毒。
病毒Worm.DocKill.b.53248
该病毒采用VB语言编写,病毒主体文件为 c:\\windows\\doc.exe 或者 c:\\windows\\doc1.exe ,并且该病毒文件会模拟成Word文档的图标: 病毒运行后,会在C盘根目录下生成病毒文件 c:\\ww.bat 和c:\\ww.txt , 其中 ww.bat文件内含有批处理程序,搜索硬盘中所有的Word文档 :
dir c:\\*.doc /a/b/s >>c:\\ww.txt
dir d:\\*.doc /a/b/s >>c:\\ww.txt
dir e:\\*.doc /a/b/s >>c:\\ww.txt
这样,病毒就将硬盘里面的所有的DOC文档建立一个列表,输出到c:\\ww.txt文件中,然后逐一将这些DOC文件删除,在删除的同时还会将这些Word文档复制到c:\\windows\\wj\\ 目录中,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
\\Folder\\HideFileExt]
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000001
这样用户无论如何查看文件扩展名都是无法显示的。
特别指出,此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。
但是, “WORD文档杀手”病毒还算比较“仁慈”,因为它并没有彻底删除DOC文件,手动恢复被删除的WORD文档的方法:请先修改注册表键值:
[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced
\\Folder\\HideFileExt]
"CheckedValue" = dword:00000001
"UncheckedValue" = dword:00000000
这样就可以显示文件的扩展名了,然后来到c:\\windows\\wj\\ 这个文件夹中去看看有无同名的.com文件,如果有的话只需把扩展名改成.doc即可找回丢失的Word文件。 也可以在命令提示行来到c:\\windows\\wj 文件夹下,中用 ren *.com *.doc 命令来一次完成所有修改扩展名操作。