校园里流行的病毒ka
说说“熊猫烧香病毒”
0
2006/12/25 
14:11 
1852
现在外面的打印店可真不负责,机子上病毒漫天飞,昨天还在梦中呢?电话响了,同组的同学说怎么刚做的毕业设计打不开了,打开的时候提示“无法打开高版本word”,晕,我一想,肯定是前阵子闹的很凶的“Word文档杀手”在作怪,可惜的是做了好几天的成果要是没有备份的话就彻底完了,不过还好有备份,下面我来说说关于“Word文档杀手”问题。
“Word文档杀手”蠕虫病毒(Worm/DocKiller)。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒运行后,会采用原始的手段,在C盘根目录下生成病毒文件 c:\ww.bat, 该文件内含有批处理程序: dir *.doc /a/b/s >>c:\ww.txt。病毒然后将硬盘里面的所有的DOC文档建立一个列表,按照一定的的路径,逐一将这些DOC文件移动到Windows下的某个目录,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。
具体技术特征如下:
1. 病毒运行后,将在用户计算机中创建以下文件:
c:\\windows\\system\\sys.exe, 53248字节,病毒程序。
%SystemDir%\\sys.exe, 53248字节,病毒程序。
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]
“EXPLORER” = “%SystemDir%\\sys.exe”
这样,在Windows启动时,病毒就可以自动执行。
3.病毒运行后会显示下面的对话框:
“无法打开高版本的word文档”
4.病毒一旦发现用户运行了“Windows任务管理器”, 立即终止运行。这样可以避免自身进程被用户发现。
5.遍历从“A”到“Z”的所有盘符,并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档(*.doc)文件。一旦发现了Word文档,病毒会用自身覆盖原文档,造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名,其程序图标也是Word文档图标,
所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前,查看文件大小和文件版本属性,“Word文档杀手”病毒的特征如下:病毒大小:53248字节
版本属性:
[公司] = “Clone Software”
[内部名称] = “我的文档”
[源文件名] = “我的文档.exe”
一旦发现与病毒特征相符的文件,千万不要双击运行。
6. 病毒在管理员进行修改用户帐号密码的操作时还会进行键盘记录,并把记录的密码和被感染的机器名保存在名为“mmwj<%s>.sys”的文件中,其中<%s>是被感染计算机的名称。这些保存密码的文件也会被病毒复制到软盘、U盘和网络驱动器上。
解决方法及步骤:
1、开机按F8进入安全模式。
2、备份文件:
打开C:/WINDOWS,把WJ文件夹打包压缩并放到其他盘。
3、Ctrl+Alt+Delete或者Ctrl+Shift+Esc打开任务管理器,结束名字含有doc的进程。
4、记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文件名为backup.bat,然后双击运行文件。
@echo off
tskill doc
md D:\backup
copy C:/WINDOWS/WJ/*.com D:\backup\*.bak
ren C:/WINDOWS/WJ/*.com *.doc
del c:\ww.bat c:\ww.txt
del %0
::=======分界线============分界线===============
5、解锁注册表以及显示所有文件及扩展名:
记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文件名为unlock.reg,然后双击运行文件。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
#=======分界线============分界线===============
6、在注册表里搜索doc.exe、doc1.exe、doc2.exe等,全部删除,再在C盘里面搜索doc.exe、doc1.exe、doc2.exe等文件,也都全部删除。
7、恢复显示“文件夹选项”,以便查看隐藏文件即文件扩展名:
法一:搜索注册表把NoFolderOptions项删除即可。
法二:运行-gpedit.msc-“本地计算机”策略-用户配置-管理模板-windows组件-windows资源管理器,更改设置:从“工具”菜单删除“文件夹选项”菜单!选择,已禁用即可。
8、$开头的文档不要了,打开成乱码,是Word的临时文档,都是由于关机不正常造成的。
9、结束
注意事项提醒:
1、用U盘拷贝数据的时候,请锁定自己的U盘,以防止别人的机器的病毒侵入自己的U盘。一旦U盘或移动硬盘已经感染病毒,请务必先杀毒后再使用。
2、各用户的计算机若没有安装防病毒软件的,请及时安装防病毒软件。在处理病毒的过程中,发现中毒的机器基本上都是没有安装任何防病毒软件,或者是安装了无法自动更新的防病毒软件。
3、收到陌生的、可疑的邮件,请不要随便打开。因为现在很多病毒都是通过邮件传播。
“Word文档杀手”蠕虫病毒(Worm/DocKiller)。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档(*.doc)文件,并用试图用自身覆盖找到的Word文档,达到传播的目的,同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录,记录结果也会随病毒传播一起被复制。
该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒运行后,会采用原始的手段,在C盘根目录下生成病毒文件 c:\ww.bat, 该文件内含有批处理程序: dir *.doc /a/b/s >>c:\ww.txt。病毒然后将硬盘里面的所有的DOC文档建立一个列表,按照一定的的路径,逐一将这些DOC文件移动到Windows下的某个目录,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。
此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。
具体技术特征如下:
1. 病毒运行后,将在用户计算机中创建以下文件:
c:\\windows\\system\\sys.exe, 53248字节,病毒程序。
%SystemDir%\\sys.exe, 53248字节,病毒程序。
2.在注册表中添加下列启动项:
[HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\policies\\Explorer\\Run]
“EXPLORER” = “%SystemDir%\\sys.exe”
这样,在Windows启动时,病毒就可以自动执行。
3.病毒运行后会显示下面的对话框:
“无法打开高版本的word文档”
4.病毒一旦发现用户运行了“Windows任务管理器”, 立即终止运行。这样可以避免自身进程被用户发现。
5.遍历从“A”到“Z”的所有盘符,并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档(*.doc)文件。一旦发现了Word文档,病毒会用自身覆盖原文档,造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名,其程序图标也是Word文档图标,
所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前,查看文件大小和文件版本属性,“Word文档杀手”病毒的特征如下:病毒大小:53248字节
版本属性:
[公司] = “Clone Software”
[内部名称] = “我的文档”
[源文件名] = “我的文档.exe”
一旦发现与病毒特征相符的文件,千万不要双击运行。
6. 病毒在管理员进行修改用户帐号密码的操作时还会进行键盘记录,并把记录的密码和被感染的机器名保存在名为“mmwj<%s>.sys”的文件中,其中<%s>是被感染计算机的名称。这些保存密码的文件也会被病毒复制到软盘、U盘和网络驱动器上。
解决方法及步骤:
1、开机按F8进入安全模式。
2、备份文件:
打开C:/WINDOWS,把WJ文件夹打包压缩并放到其他盘。
3、Ctrl+Alt+Delete或者Ctrl+Shift+Esc打开任务管理器,结束名字含有doc的进程。
4、记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文件名为backup.bat,然后双击运行文件。
@echo off
tskill doc
md D:\backup
copy C:/WINDOWS/WJ/*.com D:\backup\*.bak
ren C:/WINDOWS/WJ/*.com *.doc
del c:\ww.bat c:\ww.txt
del %0
::=======分界线============分界线===============
5、解锁注册表以及显示所有文件及扩展名:
记事本写下以下内容,点“文件-另存为”,保存类型选择“所有文件”,文件名为unlock.reg,然后双击运行文件。
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
"DisableCMD"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000001
"HideFileExt"=dword:00000000
"ShowSuperHidden"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
#=======分界线============分界线===============
6、在注册表里搜索doc.exe、doc1.exe、doc2.exe等,全部删除,再在C盘里面搜索doc.exe、doc1.exe、doc2.exe等文件,也都全部删除。
7、恢复显示“文件夹选项”,以便查看隐藏文件即文件扩展名:
法一:搜索注册表把NoFolderOptions项删除即可。
法二:运行-gpedit.msc-“本地计算机”策略-用户配置-管理模板-windows组件-windows资源管理器,更改设置:从“工具”菜单删除“文件夹选项”菜单!选择,已禁用即可。
8、$开头的文档不要了,打开成乱码,是Word的临时文档,都是由于关机不正常造成的。
9、结束
注意事项提醒:
1、用U盘拷贝数据的时候,请锁定自己的U盘,以防止别人的机器的病毒侵入自己的U盘。一旦U盘或移动硬盘已经感染病毒,请务必先杀毒后再使用。
2、各用户的计算机若没有安装防病毒软件的,请及时安装防病毒软件。在处理病毒的过程中,发现中毒的机器基本上都是没有安装任何防病毒软件,或者是安装了无法自动更新的防病毒软件。
3、收到陌生的、可疑的邮件,请不要随便打开。因为现在很多病毒都是通过邮件传播。
收藏本文到网摘:
.text:''):(d.getSelection?d.getSelection():'');void(keyit=window.open('http://my.poco.cn/fav/storeIt.php?t='+escape(d.title)+'&u='+escape(d.location.href)+'&c='+escape(t)+'&img=http://www.h-strong.com/blog/logo.gif','keyit','scrollbars=no,width=475,height=575,left=50,top=50status=no,resizable=yes'));keyit.focus();){kind=logo}
