W32.HLLW.Kilonce病毒[编辑]

     W32.HLLW.Kilonce 是一种通过开放的共享资源传播的蠕虫。它基于 W32.Nimda 蠕虫，但不具有发送电子邮件的能力。它试图关闭包含字符“KV”或“AV”或名为“Load.exe”的所有进程，并随后删除相关的文件。

病毒资料　　

发现： 2002 年 8 月 27 日

更新： 2007 年 2 月 13 日 11:40:50 AM

类型: Worm

感染长度： 39,310 bytes

受感染的系统： Windows 2000, Windows 98, Windows Me, Windows
NT, Windows XP

损坏

* 损坏级别： High

* 有效负载触发器： 13th December in any year

* 删除文件：
All deletable files and subdirectories on the C: drive will be deleted when the
payload activates.

* 危及安全设置： Guests might be granted Administrator
access; unrestricted shares might be created for drives C: - K:
分发

* 分发级别： Low

* 共享驱动器： Copies itself as Rundll32.exe or Regedit.exe
across shared drives.

首次运行执行的操作

该蠕虫首次运行时，会检查当前计算机的名称。如果名称不为“YWB”，将执行下列操作：

创建一个线程，该线程枚举所有进程，并关闭名称中包含“KV”或“AV”或名为“LOAD.EXE”的所有进程。关闭进程后，删除相关的文件。

将自身复制为

* C:\%windir%\Killonce.exe

* C:\Recycled\Killonce.exe

注意：%windir% 是一个变量。蠕虫会找到 Windows 安装文件夹（默认为 C:\Windows 或
C:\Winnt），然后将自身复制到其中。

接下来，将改变几个注册表键：

* 在注册表键中

HKEY_CLASSES_ROOT\exefile\shell\open\command

中，将“（默认）”的“数值数据”更改为

%windir%\killonce.exe "%1 %*

* 在注册表键

HKEY_CLASSES_ROOT\txtfile\shell\open\command

中，将“（默认）”的“数值数据”更改为

c:\recycled\killonce.exe %windir%\NotePad %1

该值的原始内容将丢失。

* 在注册表键

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

中，添加值

KillOnce %windir%\killonce.exe

这会导致蠕虫在每次启动
Windows 时都运行。

将 Guest 帐户添加到 Windows NT/2000/XP 下的 Administrators 组中。

打开 Windows 95/98/Me 中从 C 到 K 的所有硬盘驱动器，将其不受限制地共享。

然后，蠕虫将枚举网络资源。如果它在远程计算机上的 Windows 文件夹下找到 Rundll32.exe
文件，会将其重命名为 Run32.exe，并用自身的副本替换原始文件。如果它在远程计算机上找到 Regedit.exe，会将其重命名为
Regedit.exe.sys，然后用自身的副本替换原始文件。

该蠕虫将重写扩展名为 .eml 或 .nws 的所有文件。被重写的文件将包含该蠕虫的 base64
编码版本。

如果该蠕虫找到任何扩展名为 .doc 的文件，会将其自身复制为 Riched20.dll。

如果该蠕虫找到任何扩展名为 .htm 的文件，会将其自身复制为 Shdocvw.dll

在每年的 12 月 13 日，该蠕虫会用代码重写 Autoexec.bat 以删除 C 驱动器中的所有文件和子文件夹

网络营销词典内容均由网友提供，仅供参考。如发现词条内容有问题，请发邮件至info # wm23.com。