Word文档杀手蠕虫病毒

“Word文档杀手”蠕虫病毒（Worm/DocKiller）。该病毒运行后会搜索软盘、U盘等移动存储磁盘和网络映射驱动器上的Word文档（*.doc）文件，并用试图用自身覆盖找到的Word文档，达到传播的目的，同时也破坏了原有文档的数据。病毒还会在

计算机管理员修改用户密码时进行键盘记录，记录结果也会随病毒传播一起被复制。

具体技术特征如下：

1. 病毒运行后，将在用户计算机中创建以下文件：

c:\windows\system\sys.exe， 53248字节，病毒程序。

%SystemDir%\sys.exe， 53248字节，病毒程序。

2.在注册表中添加下列启动项：

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

“EXPLORER” = “%SystemDir%\sys.exe”

这样，在Windows启动时，病毒就可以自动执行。

3.病毒运行后会显示下面的对话框：

“无法打开高版本的word文档”

4.病毒一旦发现用户运行了“Windows任务管理器”， 立即终止运行。这样可以避免自身进程被用户发现。

5.遍历从“A”到“Z”的所有盘符，并搜索软盘、U盘等可移动存储设备和网络映射驱动器上的Word文档（*.doc）文件。一旦发现了Word文档，病毒会用自身覆盖原文档，造成用户文档数据被破坏。由于病毒在复制过程中使用和原文档相同的文件名，其程序图标也是Word文档图标，

所以该病毒隐蔽性较强。建议用户在打开上述位置的Word文档前，查看文件大小和文件版本属性，“Word文档杀手”病毒的特征如下：病毒大小：53248字节

版本属性：

[公司] = “Clone Software”

[内部名称] = “我的文档”

[源文件名] = “我的文档.exe”

一旦发现与病毒特征相符的文件，千万不要双击运行。

6. 病毒在管理员进行修改用户帐号密码的操作时还会进行键盘记录，并把记录的密码和被感染的机器名保存在名为“mmwj<%s>.sys”的文件中，其中<%s>是被感染计算机的名称。这些保存密码的文件也会被病毒复制到软盘、U盘和网络驱动器上。