不久前,笔者打开word文件时遇到了一件离奇的怪事,常用的Word文件怎么也打不开,总是出现提示框:“版本冲突:无法打开高版本的word文档”。再仔细查看,文件夹里竟然有两个名字一模一样的word文件!试着查看文件的扩展名也不行,看来笔者遭遇了“word文档杀手”病毒。
这个病毒会搜索U盘等移动存储设备和网络驱动器上的Word文档,并试图用自身来覆盖找到的Word文档,以达到传播的目的,同时也破坏了原有文档的数据。当用户误点击经过伪装的病毒后,病毒就会发作,先将硬盘里面所有的word文档建立一个列表,然后逐一将这些文件删除,同时修改注册表键值,以达到隐藏扩展名的目的。这样一来,用户无论如何也查看不到文件的扩展名。该病毒还能自动加载到U盘的自动运行文件里,一旦用户将感染了病毒的U盘插入电脑,病毒就会自动运行,导致所有word文档神秘失踪。
不过这个Word文档杀手病毒还不算太“凶残”,因为它并没有彻底删除硬盘里的Word文档,而是把文件保存在C:\windows\wj文件夹中。首先把被病毒修改了的注册表键值改回来吧。打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,将右边“CheckedValue”的值修改为“1”,将“UncheckedValue”的值修改为“0”,现在文件的扩展名就显示出来了。再插打开C:\windows\wj文件夹,里面是与丢失的Word文档同名的*.com文件,把扩展名改成“doc”后,试着打开,成功!
这次文件救援工作暂时告一段落,赶紧升级杀毒软件彻底查杀病毒,否则遇到更“凶残”的Word文档杀手的变种,那就麻烦了。建议大家还是经常升级杀毒软件的病毒库,定期扫描系统,防患于未然。
