病毒名稱：Word文檔殺手(Worm/DocKiller)

　　病毒類型：蠕蟲

　　病毒大?。?3248字節(jié)

　　傳播方式：網(wǎng)絡(luò)

　　該病毒運行后會搜索軟盤、U盤等移動存儲磁盤和網(wǎng)絡(luò)映射驅(qū)動器上的Word文檔(*.doc)文件，并用試圖用自身覆蓋找到的Word文檔，達到傳播的目的，同時也破壞了原有文檔的數(shù)據(jù)。病毒還會在計算機管理員修改用戶密碼時進行鍵盤記錄，記錄結(jié)果也會隨病毒傳播一起被復(fù)制。

　　具體技術(shù)特征如下：

　　1. 病毒運行后，將在用戶計算機中創(chuàng)建以下文件：

　　c:\windows\system\sy*.**e， 53248字節(jié)，病毒程序。

　　%SystemDir%\sy*.**e， 53248字節(jié)，病毒程序。

　　2.在注冊表中添加下列啟動項：

　　在"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ policie*\**plorer\Run"下添加："EXPLORER" = "%SystemDir%\sy*.**e"

　　這樣，在Windows啟動時，病毒就可以自動執(zhí)行。

　　3.病毒運行后會顯示下面的對話框：

　　4.病毒一旦發(fā)現(xiàn)用戶運行了"Windows任務(wù)管理器"， 立即終止運行。這樣可以避免自身進程被用戶發(fā)現(xiàn)。

　　5.遍歷從"A"到"Z"的所有盤符，并搜索軟盤、U盤等可移動存儲設(shè)備和網(wǎng)絡(luò)映射驅(qū)動器上的Word文檔(*.doc)文件。一旦發(fā)現(xiàn)了Word文檔，病毒會用自身覆蓋原文檔，造成用戶文檔數(shù)據(jù)被破壞。由于病毒在復(fù)制過程中使用和原文檔相同的文件名，其程序圖標(biāo)也是Word文檔圖標(biāo)，所以該病毒隱蔽性較強。建議用戶在打開上述位置的Word文檔前，查看文件大小和文件版本屬性，"Word文檔殺手"病毒的特征如下：

　　病毒大小：53248字節(jié)

　　版本屬性：

　　[公司] = "Clone Software"

　　[內(nèi)部名稱] = "我的文檔"

　　[源文件名] = "我的文檔.exe"

　　一旦發(fā)現(xiàn)與病毒特征相符的文件，千萬不要雙擊運行。

　　6. 病毒在管理員進行修改用戶帳號密碼的操作時還會進行鍵盤記錄，并把記錄的密碼和被感染的機器名保存在名為"mmwj<%s>.sys"的文件中，其中<%s>是被感染計算機的名稱。這些保存密碼的文件也會被病毒復(fù)制到軟盤、U盤和網(wǎng)絡(luò)驅(qū)動器上。

　　"WORD文檔殺手"(Trojan/DelDoc)新病毒，該病毒一旦發(fā)作，可以將office用戶的WORD文檔逐個刪除，所有windows版本用戶無一幸免。

　　該病毒采用VB語言編寫，病毒主體文件為 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒運行后，會采用原始的手段，在C盤根目錄下生成病毒文件 c:\ww.bat， 該文件內(nèi)含有批處理程序： dir *.doc /a/b/s >>c:\ww.txt。病毒然后將硬盤里面的所有的DOC文檔建立一個列表，按照一定的的路徑,逐一將這些DOC文件移動到Windows下的某個目錄,并將文件擴展名改為.COM。同時此病毒還能修改注冊表鍵值，以達到隱藏擴展名的目的。

　　反病毒專家特別指出，此病毒還能自我加載到U盤的自動運行文件里，這樣，一旦用戶將感染了該病毒的U盤接入電腦，WORD文檔殺手病毒就會自動運行，導(dǎo)致所有WORD文檔神秘失蹤。

　　但是，反病毒專家也指出， "WORD文檔殺手"病毒還算比較"仁慈"，因為它并沒有徹底刪除DOC文件，受害用戶可以嘗試到c:\windows\wj\ 這個文件夾中去看看有無同名的.com文件，如果有的話只需把擴展名改成.doc即可找回丟失的文件。