“Word文档杀手”病毒分析报告（2）

　　2.在 注册表 中添加下列启动项：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“EXPLORER” = “%SystemDir%\sys.exe”

　　 这样，在Windows启动时，病毒就可以自动执行。

　　 3.病毒运行后会显示下面的对话框：

　　4.病毒一旦发现用户运行了“Windows任务管理器”， 立即终止运行。这样可以避免自身进程被用户发现。

　　 5.遍历从“A”到“Z”的所有盘符，并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档（*.doc）文件。一旦发现了Word文档，病毒会用自身覆盖原文档，造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名，其程序图标也是Word文档图标，

　　 所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前，查看文件大小和文件版本属性，“Word文档杀手”病毒的特征如下：

　　 病毒大小：53248字节
　　 版本属性：
　　 [公司] = “Clone Software”
　　 [内部名称] = “我的文档”
　　 [源文件名] = “我的文档.exe”
　　 一旦发现与病毒特征相符的文件，千万不要双击运行。

　　 6. 病毒在管理员进行修改用户帐号密码的操作时还会进行键盘记录，并把记录的密码和被感染的机器名保存在名为“mmwj<%s>.sys”的文件中，其中<%s>是被感染计算机的名称。这些保存密码的文件也会被病毒复制到软盘、U盘和网络驱动器上。

　　 江民公司提醒广大用户，应对自己的Word文档及时备份，尽量避免使用可移动设备互相复制文档，在共享包含Word文档的文件夹时尽量不要设置可写权限。

　　 针对该病毒，江民公司已经在第一时间升级。请您立即升级到6月18日病毒库，即可全面查杀该病毒，保护您的系统和文档数据不受其侵害。（完）