[建议]：杀手13蠕虫病毒的防治方法剖析

ctiger

近日国内有用户对W32.HLLW.Kilonce蠕虫病毒(中文名“杀手13”)即将于12月13日爆发有着深深的忧虑。据新浪网消息，经过赛门铁克安全响应中心的专家分析后，赛门铁克立即做出响应，已于8月30日全球范围内升级了诺顿防病毒产品的病毒特征定义库，所以诺顿防病毒的用户已不必为该病毒担心。

　　W32.HLLW.Kilonce是一种经过共享文件传播的蠕虫，它是基于W32.Nimda的蠕虫，但没有通过电子邮件扩散的功能。它试图破坏任何带有”KV”或”AV”特征或以”Load.exe”命名的程序，并删除相关文件。

　　病毒特征：

　　病毒类型：蠕虫

　　感染长度：39,310 bytes

　　受感染的系统：Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

　　不会感染的系统：Windows 3.x, Windows 95, Macintosh, Unix, Linux

　　　

　　危害机理：当病毒首次启动时，它会检查现在计算机的命名，如命名不是”YWB”，蠕虫会有以下动作：

　　它会列举所有程序，并破坏任何名字中含有”KV”或”AV”或以”LOAD.EXE.”命名的程序，程序被破坏后，相关文件就被删掉；

　　它把自己复制成：C:＼%windir%＼Killonce.exe；C:＼Recycled＼Killonce.exe；

　　它把所有访问者的帐户放到Windows NT/2000/XP环境下的管理员程序中；

　　它打开从C到K的硬盘，使它们在Windows 95/98/Me环境下无限制共享，随后该蠕虫会自己列举网络资源，如果发现在远程计算机的Windows文件夹中发现Rundll32.exe，该蠕虫就会把它重新命名为Run32.exe，用复制的蠕虫代替原来的文件，如果它在远程计算机上发现Regedit.exe，就会将它重新命名为Regedit.exe.sys，并用蠕虫代替原文件；

　　该蠕虫可对任何文件扩展名为.eml或.nws的文件进行过写，被过写的文件将包含蠕虫的64位码版本；

　　如果蠕虫发现任何含有.doc扩展名，蠕虫贵将自己复制为Riched20.dll；

　　如果蠕虫发现任何带有.htm扩展名的文件，蠕虫会将自己复制为Shdocvw.dll；

　　在每年12月13日，该蠕虫会对Autoexec.bat进行过写，删除C盘中的所有文件和子文件夹。

　　删除指导：如果您被感染了该病毒，赛门铁克建议请您按下述步骤删除

　　更新病毒定义码，在安全模式下重新启动机器；

　　将Regedit.exe文件拷贝为Regedit.com(详细步骤见参考附件1)；

　　再利用Regedit.com修复由注册而引起的改写(详细步骤见参考附件2)；

　　运行全系统扫描，删除所有被W32.HLLW.Kilonce感染的文件，从一个干净的备份中重装必要的被过写文件(详细步骤见参考附件3)。

　　　

　　防治举措建议：为了避免该病毒的威胁，赛门铁克呼吁用户和管理员在操作计算机时遵循以下基本安全原则或采取下面的最佳措施：

　　关掉或去除不必要的功能。由于默认，很多操作系统设置了辅助的非关键功能如FTP服务器、telnet和Web服务器。这些功能正是病毒入侵的途径。去除它们后，减少了病毒入侵的机会，这样在进行修复更新时你只需要维护较少的功能。

　　如果混合型病毒危及一项或几项网络功能，可以关掉或阻止进入那些功能，直至进行修复。

　　保持及时的修复，特别是在管理公共功能和易通过防火墙入侵的HTTP、FTP邮件和DNS功能的计算机上。

　　设置复杂的密码。复杂的密码加大了在受侵害的计算机上破译密码文件的难度，从而阻止或减少了计算机受侵害。

　　设置邮件服务器，阻止或删除带有.vbs、.bat、.exe、.pif或.scr扩展名附件的邮件。

　　迅速隔离受侵害计算机以防止危及整个网络，同时立即进行分析，并采用可靠的手段进行修复。

　　告戒员工不要随便打开邮件附件除非是他们要的。在没有进行病毒扫描之前，也不要随便运行网上下载的程序。如果某个浏览器漏洞没有被修复，随意访问某个受侵害的站点就将感染病毒。

　　　

　　参考附件1：将Regedit.exe复制为Regedit.com

　　由于该蠕虫修改了注册程序，所以你不能运行.exe文件，你必须首先把注册编辑器复制为带有.com扩展名的文件，然后运行这个文件；

　　如果对受其他计算机感染的远程计算机进行这种操作，你必须首先将Regedit.exe.sys重新命名为Regedit.exe

　　1.针对你的操作系统，选用以下步骤：

　　Windows 95/98用户:启动，点击程序，MS-DOS命令。这在C:＼Windows指令下打开一个DOS窗口，继续进行这部分的第2步

　　Windows Me用户:启动，点击程序，附件，MS-DOS指令，这在C:＼Windows指令下打开一个DOS窗口，继续进行这部分的第2步

　　Windows NT/2000用户:

　　a.点击运行

　　b.键入下面的指令，回车

　　command

　　1个DOS窗口会打开

　　c.键入下面的指令，回车

　　cd＼winnt

　　d.继续该部分第2步

　　Windows XP:

　　a.启动运行

　　b.键入下面的指令，回车

　　command

　　　1个DOS窗口会打开

　　c.打入下面的指令，每次回车

　　cd＼

　　cd＼windows

　　d.继续该部分第2步

　　2.键入下面的指令：copy regedit.exe regedit.com，回车

　　3.键入下面的指令：start regedit.com，回车

　　执行结果：编辑器将会在DOS窗口前打开，完成后，编辑注册，退出注册编辑，退出DOS窗口

　　完成上述步骤后，继续下一步“编辑注册除掉由病毒制造的要害和变化“

　　注意：

　　注册编辑器会在DOS窗口强打开，完成注册和关掉注册编辑器后，关掉DOS窗口

　　在成功地除掉W32.HLLW.Kilonce后，可以删除Regedit.com文件

　　　

　　参考附件2：将注册的变化恢复为原来的状态

　　注意：赛门铁克强烈建议你在进行改变时回到注册的状态。对注册进行不恰当的改变将导致永久的数据丢失或破坏文件，只对指定的指令进行修订。具体步骤如下：

　　1.启动运行，运行对话框出现

　　2.键入regedit，选OK，注册编辑器打开

　　3.操纵指令：

　　HKEY_LOCAL_MACHINE＼SOFTWARE＼Microsoft＼Windows＼CurrentVersion＼Run

　　4.在右边的窗口中，删除：KillOnce %windir%＼killonce.exe

　　5.键入：HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command

　　注意：

　　HKEY_CLASSES_ROOT包含很多子指令涉及文件的扩展名，其中一个是.exe.，改变这一扩展名可以防止任何以.exe扩展名结尾的文件运行。必须按照这一步骤进行，直至＼command子指令。

　　Modify the HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command subkey that is shown in the following figure:

　　修订HKEY_CLASSES_ROOT＼exefile＼shell＼open＼command如下图

　　<<=== NOTE: Modify this key.

　　6.在右边的窗口，双击默认值

　　7.删除现在的数据，键入”%1” %*(即quote-percent-one-quote-space-percent-asterisk.)

　　注意

　　·在95/98/Me和Windows NT环境下，注册编辑器用引号自动关闭数值，当你选OK时，缺省值应该像这样：””%1” %*”

　　Windows 2000/XP环境下，引号不会出现，当你选OK时，缺省值应该像这样：

　　”%1” %*

　　确保在键入争取的数据前完全关闭指令键的数值，如果在入口处留了空隙，任何企图运行程序的努力都会以错误信息”Windows cannot find .exe.”告终。如果这样，从本文件从头开始，确保除掉现在的数值

　　8.采取下面的指令：HKEY_CLASSES_ROOT＼txtfile＼shell＼open＼command

　　9.在右边窗口双击缺省值

　　10.删除现在的数值，用你现在的Windows正确的数值和设置代替它，这个数值可能是变化的，如在标准Windows 2000中，可以是：%SystemRoot%＼system32＼n OTEPAD.EXE %1，建议你查看一下没有感染的同样操作系统和集成环境的计算机的数值或向技术人员求助

　　11.退出注册编辑.

　　参考附件3：扫描和删除受感染文件

　　1.启动“诺顿杀毒程序”，并确认它扫描了所有文件，

　　对诺顿防病毒产品个人用户:参阅“如何配置诺顿防病毒去执行扫描”；

　　对诺顿防病毒产品企业级用户：参阅“如何验证赛门铁克企业防病毒被真正去扫描所有文件”

　　2.运行全系统扫描

　　3.删除被W32.HLLW.Kilonce感染的文件

　　4.重新启动计算机，通过干净的备份程序恢复过写文件