Worm.Roron.55.f
病毒名称:
Worm.Roron.55.f
类别: 蠕虫病毒
病毒资料:
破坏方法:
一、病毒首先释放三个拷贝到系统:
DX89AM32.EXE、
DESK.EXE、
COMMON.EXE;
释放FAITH.INI;
还会释放几个sys和def文件,名称随机。是病毒的配置文件。
二、病毒通过三中方式自启动。
1.写入注册表项
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
LoadSystem和CommonAgent;
2.如果根目录有文件Autorun.inf ,将自己写入;
3.修改win.ini的run项。
三、
1.
病毒破坏注册表项设置:exefile\shell\open\command,接管exe文件关联。当用户运行程序时,病毒首先被启动。
如果程序名称中包含下列字符串,病毒则拒绝执行那个程序,这样很多杀毒软件失效了:
virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、McAfee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kASPersky 、panda
2.病毒遍历进程,发现进程名称有上述字符串,则杀死那个进程。
3.病毒遍历窗口,发现标题包含字符串 :
black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap
avpalarm、f-prot、secure、labs、antivir,
就向那个窗口发送WM_CLOSE消息,使之关闭。
四、
病毒频繁的搜索标题为“Outlook EXPress”、“Choose Profile”和“Internet Mail”的窗口,发现后隐藏。这样,病毒在使用系统MAPI发送病毒邮件时,系统不会提示用户,病毒就不会被用户察觉。
五、本地文件传播
遍历硬盘目录,释放病毒拷贝,名称随机。
可能的后缀名:
.pif、.scr、.pif、.scr、.asf、.mpg、.asf、.avi、.mpg
可能的文件名称,请参考后面。
六、局域网传播
枚举局域网可写目录,将自己拷贝过去。
七、邮件传播
病毒查询本地邮件服务器设置,发送携带病毒的邮件。这个邮件利用漏洞自动运行。
邮件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
%s sent you a Yahoo! Greeting_
support@games.yahoo.com
Yahoo!Tennis.scr
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so mUCh,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
八、病毒创建注册表exe文件关联项和系统目录的监控线程。
这样用户手工更改设置,或删除系统中的病毒文件,都是无效的,因为病毒会自动恢复。
九、如果有mIRC通信软件,病毒会释放自己的ini文件,利用这些软件传播自己。
mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini、
[参考]
病毒可能采用的文件名称:
KaZaA Media Desktop v2.13_
Serials2K 7.1 (FULL Updated)_
Serials2003_8.0(14.02.03)_
Dreamweaver_MX_Update_
ACDSee
WinAMP_3.1_Cool_
Download Accelerator 5.5_
Nero Burning Rom 5.7.7.3_cReditCarDs_gEn
Mail HACK
WinXP Crack PassWord
DiViDiX Coder 5.0 Beta_
Eminem BioData
DMX Desktop
NFS HP Bonus Cars_
Counter Strike 1.5 (Hack)_
WinZip Password Crack
WinZip 8.1(FULL)_
DivX 5.5 Full_
7.1 FULL
v5.5
(zip)
3.0
(Eng)
(Cracked)
Nice Girl*
15 years old blonde*
Shakira Boobs_
Pamela3D_
17year old teen babysitter*
KamaSutra*
Teen raped in bathroom*
Teen_Sex_Cam
Sarah fingers pussy on webcam*
Silvia Saint Theme_
Russian_Teen*
mariana hot virgin*
German Rape*
SKINny Lolita French Teen*
BlondeShow*
(sHow)
3D
3.0
(Eng)
v4.5
(Rated)
ClubExtreme_
Story015_
Gipsy
Elfbowl
snowball_fight_
mTVCharts_
3.3
(zip)
(sHow)
3D
(Eng)
_v1.1
BoxDave_
Pamela*
KamaSutra
Fishfood
Story017_
16Yr_Old_Teen*
mTV_Charts_
(sHow)
3D
(Eng)
2.3
dreamy
candy_f
bryan16
jerry
baby_17
neo
trish1
linda17
monica
nicole
angel_f
mellany
iguana17
blade
badgirl
wizzard
blue16
tweety
alice
jane17
badboy
rap_girl
CrazyGirl
happy
amanda
crazy
mickey
lady_f
alex15
sunny
dave
panda_f
hotmail.com
yahoo.com
mail.com
yahoo.co.uk
usa.net
europe.com
aol.com
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2003-8-22