endurer原创
2006-03-18第1版
刚才帮一位朋友弄打印机,顺手到http://endurer.ys168.com下载HijackThis扫描,除了发现雅虎助手,一搜工具条,新浪点点通,新浪下载助手,3721中文邮,DuDu等讨厌的东东外,还有一项:
O4 - HKLM\..\Run: [OFFICE] C:\WINDOWS\system\order.exe
引起了我的注意,找到文件一看,不仅文件用的图标与Word相同,连文件属性里的说明也与Word相似。不是一个好东东。
到http://endurer.ys168.com下载“瑞星杀毒助手”,使用用瑞星在线免费扫描,发现了三个染毒文件:
文件名 病毒名
C:\WINDOWS\SYSTEM\WINLOG0N.EXE>>VEUnpackFile Trojan.Clicker.Audix.b
C:\WINDOWS\SYSTEM\order.exe Trojan.Dockiller.b
C:\WINDOWS\temp\Unpacked.ExE>>VEUnpackFile Trojan.Clicker.Audix.b
都用“瑞星杀毒助手”解决了。
把IE临时文件夹清空了。
再看看瑞星病毒信息库中关于Trojan.Dockiller.b的资料:
http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=71673
病毒分类
WINDOWS下的PE病毒
病毒名称
Trojan.Dockiller.b
别 名
病毒长度
依赖系统
传播途径
行为类型
WINDOWS下的木马程序
感 染
病毒发作
瑞 星 版 本 号
16.53.30
vb写的木马病毒,以pCode方式编译而成。看上去酷似word文档。
一、复制自身到%WINDIR%\system\regedit.exe和%WINDIR%\system32\order.exe 。
二、添加自启动项
HKLM\software\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\EXPLORER\RUN
OFFICE : %WINDIR%\system32\order.exe
三、搜索“Windows 任务管理器”,发现后立即中止自身。防止被用户发现。
四、搜索“用户帐户”,试图取得用户密码。
五、每次运行,会覆盖当前目录下的一个.doc文件,被覆盖的.doc文件无法挽回。
六、用户双击病毒文件时,会显示消息"无法打开高版本的Word文件",造成假象,迷惑用户。