抓获doc文档杀手Trojan.Dockiller.b(第1版)

王朝other·作者佚名  2006-03-20
窄屏简体版  字體: |||超大  

endurer原创

2006-03-18第1版

刚才帮一位朋友弄打印机,顺手到http://endurer.ys168.com下载HijackThis扫描,除了发现雅虎助手,一搜工具条,新浪点点通,新浪下载助手,3721中文邮,DuDu等讨厌的东东外,还有一项:

O4 - HKLM\..\Run: [OFFICE] C:\WINDOWS\system\order.exe

引起了我的注意,找到文件一看,不仅文件用的图标与Word相同,连文件属性里的说明也与Word相似。不是一个好东东。

http://endurer.ys168.com下载“瑞星杀毒助手”,使用用瑞星在线免费扫描,发现了三个染毒文件:

文件名 病毒名

C:\WINDOWS\SYSTEM\WINLOG0N.EXE>>VEUnpackFile Trojan.Clicker.Audix.b

C:\WINDOWS\SYSTEM\order.exe Trojan.Dockiller.b

C:\WINDOWS\temp\Unpacked.ExE>>VEUnpackFile Trojan.Clicker.Audix.b

都用“瑞星杀毒助手”解决了。

把IE临时文件夹清空了。

再看看瑞星病毒信息库中关于Trojan.Dockiller.b的资料:

http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=71673

病毒分类

WINDOWS下的PE病毒

病毒名称

Trojan.Dockiller.b

别 名

病毒长度

依赖系统

传播途径

行为类型

WINDOWS下的木马程序

感 染

病毒发作

瑞 星 版 本 号

16.53.30

vb写的木马病毒,以pCode方式编译而成。看上去酷似word文档。

一、复制自身到%WINDIR%\system\regedit.exe和%WINDIR%\system32\order.exe 。

二、添加自启动项

HKLM\software\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN

OFFICE : %WINDIR%\system32\order.exe

三、搜索“Windows 任务管理器”,发现后立即中止自身。防止被用户发现。

四、搜索“用户帐户”,试图取得用户密码。

五、每次运行,会覆盖当前目录下的一个.doc文件,被覆盖的.doc文件无法挽回。

六、用户双击病毒文件时,会显示消息"无法打开高版本的Word文件",造成假象,迷惑用户。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有  導航