基本内容

Worm/DocKiller

病毒类型：蠕虫

病毒大小：53248字节

传播方式：网络

“Word文档杀手”蠕虫病毒Worm/DocKiller运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档（*.doc）文件，并用试图用自身覆盖找到的Word文档，达到传播的目的，同时也破坏了原有文档的数据。病毒还会在计算机管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被复制。

具体技术特征如下：

1. 病毒运行后，将在用户计算机中创建以下文件：

c:\windows\system\sys.exe， 53248字节，病毒程序。

%SystemDir%\sys.exe， 53248字节，病毒程序。

2. 在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

“EXPLORER” = “%SystemDir%\sys.exe”

这样，在Windows启动时，病毒就可以自动执行。

3. 病毒运行后会显示标题为版本冲突带确定按纽的对话框：

内容为：无法打开高版本的Word文档！

4. 病毒一旦发现用户运行了“Windows任务管理器”， 立即终止运行。这样可以避免自身进程被用户发现。

5. 遍历从“A”到“Z”的所有盘符，并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档（*.doc）文件。一旦发现了Word文档，病毒会用自身覆盖原文档，造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名，其程序图标也是Word文档图标，所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前，查看文件大小和文件版本属性，“Word文档杀手”病毒的特征如下：

病毒大小：53248字节