此病毒可以在Windows 2000、Windows XP等作业系统环境下正常运行。它运行时会将自身写入系统目录及资源回收筒，并通过修改注册表进行自启动，同时在区域网路进行疯狂传播，建立多个执行绪，干掉已知的反病毒软体，并用NET命令打开区域网路上计算机的后门。12月13日，病毒爆发时，还会给被感染的计算机带来毁灭性的攻击：删除C糟全部目录和所有档案！

如果用户发现计算机中有这些特徵，则很有可能中了此病毒。

一、病毒会将自己複製到系统目录以及资源回收筒并命名为Killonce.exe

二、病毒运行时会在注册表中的：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入键值为：Killonce ，内容为：C:\WINNT\SYSTEM32\KillOnce.exe 的自启动键。

三、如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：“你无权执行该档案” 的提示框。

四、如果“我的文档”目录中存在*.doc档案，病毒则会将把自己複製到该目录，命名为：RICHED20.DLL和SHDOCVW.DLL。

五、病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问许可权提高到管理员的许可权，并在系统中留下后门。

六、当12月13日时，病毒会在autoexec.bat档案中加入deltree /y c:\*.*的命令。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“杀手13（Worm.KillOnce）”病毒，用户可以将病毒档案直接删除、将注册表中的病毒键值删除，来消除病毒的影响，如果用户对注册表不太熟悉的话，也可以到瑞星网站下载注册表清除工具，最好还是用瑞星防毒软体2003版的最新版本进行彻底清除。

为避免遭受损失，众网友应儘快升级自己的防毒软体，瑞星防毒软体15.09以上的版本能自动截获并清除此病毒。

病毒程式的图示为windows浏览器的图示，有很大迷惑性。

它将自己複製到系统目录及资源回收筒目录档案名称为Killonce.exe

%WINDOWS%\killonce.exe 是病毒，驻留系统

%WINDOWS%\Rundll32.exe 是病毒，替换系统档案

%RECYCLED%\killonce.exe 是病毒，隐藏到资源回收筒

在注册表中添加以下键：

1） HKCR\txtfile\shell\open\command\ ：

%WINDOWS%\KillOnce.exe %1

用户打开txt档案时，会激活病毒。

2）HKCR\exefile\shell\open\command\ :

%WINDOWS%\KILLONCE.EXE "%1" %*

HKLM\software\classes\exefile\shell\open\command\ :

%WINDOWS%\KILLONCE.EXE "%1" %*

目的有两个，一是双击exe档案时，会激活病毒。二是阻止用户运行REGEDIT.EXE,MSCONFIG.EXE。如果运行 REGEDIT.EXE,MSCONFIG.EXE，病毒会禁止程式的运行，并弹出对话框，显示：“你无权执行该档案!”

3）HKLM\software\Microsoft\Windows\CurrentVersion\Run\:

KillOnce : %WINDOWS%\KILLONCE.EXE "%1" %*

作用是随WINDWOS启动而自动启动。

病毒遍曆本地硬碟和区域网路。

1．如果目录有.DOC档案，则释放RICHED20.DLL，是病毒，当用户打开当前目录下的DOC档案时，病毒被激活。

2.如果目录有.HTM档案，则释放SHDOCVW.DLL， 是病毒。当用户打开当前目录下的HTM档案时，病毒被激活。

3.如果网路已分享资料夹是可写的，则试图在该目录下创建一个email档案。该邮件利用系统的IE漏洞，打开或预览时会自动执行附属档案（病毒体）。

病毒枚举进程，如果进程明中包含KV、 AV、 LOAD 字元串 ，病毒不仅终止该进程，还会删除相应档案。

执行命令 “Net.Exe LocalGroup Administrators Guest /Add”，把Guest用户许可权提升为管理员许可权。删除HKLM\Software\Microsoft\Windows\CurrentVersion\Network\LanMan\下所有键。然后添加新的键，以将C到K之间的硬碟盘符完全共享，共享名称为CX、DX、EX、......、KX。

如果系统时间是12月13日，则在C:\AUTOEXEC.BAT 中写入

“ DELTREE /Y C:\*.*”，当系统再次启动时，C糟上的所有档案将被删除。

如果本地计算机名称以 WANG 开头，不会共享本地硬碟，只是进行传播。

该病毒中包含关于邮件的代码。估计以后的版本会通过邮件传播。邮件中包含一个附属档案：EXPLORER.EXE ,其实是该病毒。邮件利用Outlook的漏洞，自动执行附属档案。

12月13日将删除C糟全部档案的“杀手13”病毒

--------------------------------------------------------------------------------

病毒类型：蠕虫病毒

发作时间：随机

传播方式：网路/邮件

感染对象：网路

警惕程度：★★★★

于11月14日下午被瑞星首次截获的一个极度危险的恶性蠕虫病毒--“杀手13”。这个病毒构思巧妙、功能设定完备、潜伏和传染能力极强、并具备对抗反病毒软体的能力，是今年截获的又一个“智慧型型”恶性病毒，也是今年发现的最具“杀伤力”的恶性病毒。

一、藏身系统目录与资源回收筒

病毒一旦感染计算机，便将自己複製到系统目录以及资源回收筒并命名为Killonce.exe。

二、加入注册表中的自启动项

病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项中加入键值为：Killonce ，内容为：C:\WINNT\SYSTEM32\KillOnce.exe ，以达到自启动的目的。

三、使用户无法使用注册表相关工具

当中毒后，病毒会通过修改exefile,txtfile的open\command方式，使用户无法使用Regedit.exe与Msconfig.exe注册表相关工具.如果中毒后用户运行regedit.exe,msconfig.exe等工具时，病毒会截获并提示：“非法用户，你无权执行该档案”。

四、利用WORD载入自己

病毒通过读取注册表得系统当前用户的“我的文档”目录，如果此目录里存在*.doc档案，则病毒会将把自己複製到该目录，命名为：RICHED20.DLL SHDOCVW.DLL，当WORD打开这些文档时，便会将这两个病毒档案载入到记忆体中。

五、共享系统盘，对抗反病毒软体

当病毒进入记忆体后，便将系统盘设为共享，使区域网路内的其他用户可以轻易修改该用户的系统设定，并窃取其机密文。病毒还会生成多执行绪，其中一个执行绪休眠200毫秒就遍历一次系统进程列表，如果找到它可以识别的反病毒软体的进程便将之杀掉，使这些防毒软体失效。

六、生成病毒邮件，区域网路传播。

病毒还会进行疯狂区域网路传播，病毒会遍曆局域网，将自己複製到网内共享可写目录，并在此目录下生成一个可以自启动的病毒邮件，使用户中招。

七、利用NET命令给系统开后门

病毒会每隔1分钟便运行“net.exe localgroup administrators guest /add”命令一次，将普通用户（guest）账号的访问许可权提高到管理员的许可权，并在系统中留下后门。

八、展开最终攻击，破坏硬碟

在进行周密的布置后，当12月13日到来时，病毒会在autoexec.bat档案中加入deltree /y c:\*.*的命令，当用户重启计算机时，便将用户C糟的所有内容全部删除

快速解毒秘诀：

(1)病毒会将自己複製到系统目录以及资源回收筒并命名为Killonce.exe 可以直接将这个病毒档案删除。

(2)病毒运行时会在注册表中的：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项 中加入键值为：Killonce ，内容为：C:\WINNT\SYSTEM32\KillOnce.exe 的自启动键。可以直接将此注册表键值删除。

(3)如果中毒后用户运行regedit.exe,msconfig.exe等工具时，会出现标题为：“非法用户”，内容为：你无权执行该档案”的提示框。如果出现此信息，则说明中了“杀手13”病毒。

(4)如果“我的文档”目录中存在*.doc档案，病毒则会将把自己複製到该目录，命名为：RICHED20.DLL、SHDOCVW.DLL。可以直接将这两个病毒档案删除。

(5)病毒会在管理组中建立一个GUEST用户，并将此用户账号的访问许可权提高到管理员的许可权，并在系统中留下后门。网管员可以据此判断是否中了“杀手13”病毒。

(6)当12月13日时，病毒会在autoexec.bat档案中加入deltree /y c:\*.*的命令。可以直接将autoexec.bat中的以上内容直接删除。