日前,冠群金辰[CA-JinChen]发出病毒警告,一种新的特洛伊木马现身江湖,该病毒名为Win32.HideDoc(别名Win32/HideDoc.Trojan)。HideDoc的疯狂度为低级,但其危害性极大。以下,我们对其症状及防治进行介绍,以助广大用户有所防范。
病毒症状:
运行时,木马会将自己拷贝到系统目录下,并在注册表的Run子键中添加键值,以便激活自己。而添加的键值就是不带扩展名的文件名称,比如:HKLM\Software\Microsoft\Windows\CurrentVersion\Run, "Test", "C:\Windows\Test.exe"。
此外,木马程序还会在Windows目录下生成两个文件:STDOLE.DLL和STPRINT.OCL。STDOLE.DLL负责与winwordc.exe保持关联,而STPRINT.OCL则是一个计数器。计数器的累加周期为5分钟,也就是当系统时间的最后一位是“5”或者“0”时,计数器就会自动累加。每累加一次,木马就会查找A:\驱动里是否有.DOC文件,如果找到了,木马就会以自己的副本文件替代原来的文件,而扩展名也由.DOC改为.EXE。而ord文档的图标却仍然保留,以骗过用户,使木马程序得以运行。最初的.DOC文件的属性则被设置为“隐藏”。
当计数器累加到276以后,木马就会在系统的所有文件上添加下面一段文字:"Virus LourdesHRA atacó esta computadora, Feliz 2003 y Disculpen las molestias que este ocaciona"
"Maldito Xp pero me vengaré, desastre al 100% menos Xp"。翻译成中文的意思就是:LourdesHRA 病毒已附着在此电脑上,祝您2003年快乐,并请您原谅由此带来的不便。该死的Xp,但是我会报复的,没有什么比Xp更像一场灾难了。
病毒运行时还会显示这些文字:“Es para felicitar a todos los infectados aunque no creo que les guste. LHRA corporation se deslinda del mal uso que se le de a este programa y lo que pueda hacer, no se hace responsable de este, ni por los deztrozos ca.Copiright 2003 felitz A?o Nwebo k’ Prodrama tien portento Metzikno putos, ah y tambien feliz navidad”翻译成中文的意思就是:“尽管我相信这些感染了病毒的人并不会感到高兴,但我还是要恭喜他们。LHRA公司再也不用这个糟糕的程序了,该公司并不对此及其所引起的损失负责。Happy New Year k程序2003版权所有,100%的墨西哥人圣诞快乐。”
防身一招:KILL安全胄甲inoculateIT v23.60.15 vet 10.5/4480 版及kill 98/2000 v42.15可检测/清除此病毒。