搜狐首页-新闻-体育-娱乐-财经-IT-汽车-房产-家居-女人-TV-ChinaRen-邮件-博客-BBS-搜狗 

IT频道 > IT-搜狐IT > 国内IT > 江民科技新闻 > 江民科技新闻
江民发布“WORD文档杀手”病毒技术分析报告
时间:2006年01月23日13:20 我来说两句(0)  

 
雍忠玮:看看移动员工的工资条 杜碧玉:日本电信运营商太嚣张 更多精彩博客推荐

关注最火辣的网络话题    
来源:搜狐IT

  近日,江民病毒研究中心接到来自不同地区的用户反映,他们电脑中DOC格式的WORD文件突然神秘失踪,其中有许多是他们积累多年的重要资料和书稿,一旦丢失,损失将十分惨重。奇怪的是,存放DOC文件的文件夹却仍然存在,而且其它类型的文档文件如电子表格XLS、幻灯片PPT等却没有异常。

  接到用户的报告后,江民反病毒专家第一时间提取了可疑文件样本并进行了特征分析,专家分析后确认,用户受害的原因系感染了一名为“WORD文档杀手”(Trojan/DelDoc)新病毒,该病毒一旦发作,可以将office用户的WORD文档逐个删除,所有windows版本用户无一幸免。
241586276 

  该病毒采用VB语言编写,病毒主体文件为 c:\windows\doc.exe 或者 c:\windows\doc1.exe ,并且该病毒文件会模拟成Word文档的图标: 病毒运行后,会在C盘根目录下生成病毒文件 c:\ww.bat 和c:\ww.txt , 其中 ww.bat文件内含有批处理程序,搜索硬盘中所有的Word文档 :

  dir c:\*.doc /a/b/s >>c:\ww.txt

  dir d:\*.doc /a/b/s >>c:\ww.txt

  dir e:\*.doc /a/b/s >>c:\ww.txt

  这样,病毒就将硬盘里面的所有的DOC文档建立一个列表,输出到c:\ww.txt文件中,然后逐一将这些DOC文件删除,在删除的同时还会将这些Word文档复制到c:\windows\wj\ 目录中,并将文件扩展名改为.COM。
同时此病毒还能修改注册表键值,以达到隐藏扩展名的目的。

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]

  "CheckedValue" = dword:00000001

  "UncheckedValue" = dword:00000001

  这样用户无论如何查看文件扩展名都是无法显示的。

  江民反病毒专家特别指出,此病毒还能自我加载到U盘的自动运行文件里,这样,一旦用户将感染了该病毒的U盘接入电脑,WORD文档杀手病毒就会自动运行,导致所有WORD文档神秘失踪。

  但是,反病毒专家也指出, “WORD文档杀手”病毒还算比较“仁慈”,因为它并没有彻底删除DOC文件,手动恢复被删除的WORD文档的方法:请先修改注册表键值:

  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]

  "CheckedValue" = dword:00000001

  "UncheckedValue" = dword:00000000

  这样就可以显示文件的扩展名了,然后来到c:\windows\wj\ 这个文件夹中去看看有无同名的.com文件,如果有的话只需把扩展名改成.doc即可找回丢失的Word文件。 也可以在命令提示行来到c:\windows\wj 文件夹下,中用 ren *.com *.doc 命令来一次完成所有修改扩展名操作。

  如图:
241586277 
241586278 

  这样,被病毒删除的Word文件就恢复出来了,然后升级一下杀毒软件,全盘杀毒就可以了。

  江民反病毒专家提醒大家注意:请做好数据备份工作,以防不测。如果看到有扩展名为.EXE的Word文档请不要直接双击运行,因为其很有可能是病毒,为了预防这类病毒的破坏,江民反病毒专家建议广大用户安装最新的杀毒软件,及时升级病毒库,开启病毒实时监控。专家并建议用户在使用U盘时,尽量不要开启自动运行功能或直接双击打开U盘,可以使用鼠标右键打开的功能。江民杀毒软件KV2006的接入移动存储设备自动查毒功能,可有效杜绝此类病毒从U盘入侵电脑。

(责任编辑:十一点五十九)



共找到 3,786 个相关新闻.

我来说两句 全部跟贴(0条) 精华区(0条) 辩论区(0条)

用户:  匿名发表:  隐藏地址:


设为辩论话题      


精彩图片新闻

惊心动魄鳄鱼花豹争食

惊心动魄的鳄豹争食
二战令人喷饭的老照片

二战令人喷饭的照片

热门科技新闻推荐

相关链接





搜狐短信 小灵通 性感丽人 言语传情
三星图铃专区
[周杰伦] 千里之外
[誓 言] 求佛
[王力宏] 大城小爱
[王心凌] 花的嫁纱
精品专题推荐
短信企业通秀百变功能
浪漫情怀一起漫步音乐
同城约会今夜告别寂寞
敢来挑战你的球技吗?
 精彩生活 

星座运势 每日财运
花边新闻 魔鬼辞典
情感测试 生活笑话


今日运程如何?财运、事业运、桃花运,给你详细道来!!!


死了都要爱
上海滩
寂寞沙洲冷
隐形的翅膀
不怕不怕
约定
谁动了我的琴弦

科学图吧

游走在地球上的动物

·[图]不得不看的另类酷鱼
·我在地铁用蓝牙泡了个妞
·[图]十大动物杀手排名


频道精彩推荐

·2006年春运
·欢度2006年春节
·2006世界杯
·火车票交易查询
·“汉芯一号”被指造假
·2005年经济回顾
·东风标致206正式下线
·2006澳网公开赛
·2006都灵冬奥会
·禽流感疫情






菊花台
一万个理由
隐形的翅膀
倩女幽魂
飞的更高
无尽的爱
迷糊娃娃可爱粉红卡通
四季美眉给你最想要的

搜狐分类 ·搜狐招商

劲爆论坛

·母女同孕 走进非洲部落
·半截女孩街头艰难生活
·亚运也如此搞笑
·变态的实验室动物
·2006娱乐圈"性风作浪"榜
·苏联红军曾强奸德国妇女
·网络游戏走光美女大全
·10种小玩意改变全世界
·令人啼笑皆非的假冒产品
·毛泽东的10大外国"粉丝"

·将来的衣食住行是啥样
·死于贫困的美国总统们
·纯真部落裸体姑娘不害羞
·击破明星专家护肤谎言
·世界各地神秘的纹身者
·处决驰名国际的女间谍

推荐企业
中国移动 诺基亚 瑞星 联想 摩托罗拉 三星 清华紫光 金山 索尼爱立信 索尼
给编辑写信



设置首页 - 搜狗输入法 - 支付中心 - 搜狐招聘 - 广告服务 - 客服中心 - 联系方式 - 保护隐私权 - About SOHU - 公司介绍 - 全部新闻 - 全部博文
Copyright © 2018 Sohu.com Inc. All Rights Reserved. 搜狐公司 版权所有
搜狐不良信息举报邮箱:jubao@contact.sohu.com