抓获doc文档杀手Trojan.Dockiller.b（第1版）

endurer　原创

2006-03-18　第1版

刚才帮一位朋友弄打印机，顺手到http://endurer.ys168.com下载HijackThis扫描，除了发现雅虎助手，一搜工具条，新浪点点通，新浪下载助手，3721中文邮，DuDu等讨厌的东东外，还有一项：

---

O4 - HKLM/../Run: [OFFICE] C:/WINDOWS/system/order.exe

---

引起了我的注意，找到文件一看，不仅文件用的图标与Word相同，连文件属性里的说明也与Word相似。不是一个好东东。

到http://endurer.ys168.com下载“瑞星杀毒助手”，使用用瑞星在线免费扫描，发现了三个染毒文件：

---

文件名 病毒名
C:/WINDOWS/SYSTEM/WINLOG0N.EXE>>VEUnpackFile Trojan.Clicker.Audix.b
C:/WINDOWS/SYSTEM/order.exe Trojan.Dockiller.b
C:/WINDOWS/temp/Unpacked.ExE>>VEUnpackFile Trojan.Clicker.Audix.b

---

都用“瑞星杀毒助手”解决了。

把IE临时文件夹清空了。

再看看瑞星病毒信息库中关于Trojan.Dockiller.b的资料：

http://it.rising.com.cn/antivirus/virusdataasp/viruslist.asp?id=71673

病毒分类	WINDOWS下的PE病毒	病毒名称	Trojan.Dockiller.b
别 名		病毒长度
依赖系统		传播途径
行为类型	WINDOWS下的木马程序	感 染
病毒发作		瑞 星 版 本 号	16.53.30
vb写的木马病毒，以pCode方式编译而成。看上去酷似word文档。 一、复制自身到%WINDIR%/system/regedit.exe和%WINDIR%/system32/order.exe 。 二、添加自启动项 HKLM/software/MICROSOFT/WINDOWS/CURRENTVERSION/POLICIES/EXPLORER/RUN OFFICE ： %WINDIR%/system32/order.exe 三、搜索“Windows 任务管理器”，发现后立即中止自身。防止被用户发现。 四、搜索“用户帐户”，试图取得用户密码。 五、每次运行，会覆盖当前目录下的一个.doc文件，被覆盖的.doc文件无法挽回。 六、用户双击病毒文件时，会显示消息"无法打开高版本的Word文件"，造成假象，迷惑用户。