Worm.Roron.55.f
2008-02-23 09:19:06来源:互联网 阅读 ()
病毒名称:
Worm.Roron.55.f
类别: 蠕虫病毒
病毒资料:
破坏方法:
一、病毒首先释放三个拷贝到系统:
DX89AM32.EXE、
DESK.EXE、
COMMON.EXE;
释放FAITH.INI;
还会释放几个sys和def文件,名称随机。是病毒的配置文件。
二、病毒通过三中方式自启动。
1.写入注册表项
HKLM\Software\Microsoft\Windows
\CurrentVersion\Run
LoadSystem和CommonAgent;
2.如果根目录有文件Autorun.inf ,将自己写入;
3.修改win.ini的run项。
三、
1.
病毒破坏注册表项设置:exefile\shell\open\command,接管exe文件关联。当用户运行程序时,病毒首先被启动。
如果程序名称中包含下列字符串,病毒则拒绝执行那个程序,这样很多杀毒软件失效了:
virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、McAfee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kASPersky 、panda
2.病毒遍历进程,发现进程名称有上述字符串,则杀死那个进程。
3.病毒遍历窗口,发现标题包含字符串 :
black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap
avpalarm、f-prot、secure、labs、antivir,
就向那个窗口发送WM_CLOSE消息,使之关闭。
四、
病毒频繁的搜索标题为“Outlook EXPress”、“Choose Profile”和“Internet Mail”的窗口,发现后隐藏。这样,病毒在使用系统MAPI发送病毒邮件时,系统不会提示用户,病毒就不会被用户察觉。
五、本地文件传播
遍历硬盘目录,释放病毒拷贝,名称随机。
可能的后缀名:
.pif、.scr、.pif、.scr、.asf、.mpg、.asf、.avi、.mpg
可能的文件名称,请参考后面。
六、局域网传播
枚举局域网可写目录,将自己拷贝过去。
七、邮件传播
病毒查询本地邮件服务器设置,发送携带病毒的邮件。这个邮件利用漏洞自动运行。
邮件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
%s sent you a Yahoo! Greeting_
support@games.yahoo.com
Yahoo!Tennis.scr
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so mUCh,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
八、病毒创建注册表exe文件关联项和系统目录的监控线程。
这样用户手工更改设置,或删除系统中的病毒文件,都是无效的,因为病毒会自动恢复。
九、如果有mIRC通信软件,病毒会释放自己的ini文件,利用这些软件传播自己。
mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini、
[参考]
病毒可能采用的文件名称:
KaZaA Media Desktop v2.13_
Serials2K 7.1 (FULL Updated)_
Serials2003_8.0(14.02.03)_
Dreamweaver_MX_Update_
ACDSee
WinAMP_3.1_Cool_
Download Accelerator 5.5_
Nero Burning Rom 5.7.7.3_cReditCarDs_gEn
Mail HACK
WinXP Crack PassWord
DiViDiX Coder 5.0 Beta_
Eminem BioData
DMX Desktop
NFS HP Bonus Cars_
Counter Strike 1.5 (Hack)_
WinZip Password Crack
WinZip 8.1(FULL)_
DivX 5.5 Full_
7.1 FULL
v5.5
(zip)
3.0
(Eng)
(Cracked)
Nice Girl*
15 years old blonde*
Shakira Boobs_
Pamela3D_
17year old teen babysitter*
KamaSutra*
Teen raped in bathroom*
Teen_Sex_Cam
Sarah fingers pussy on webcam*
Silvia Saint Theme_
Russian_Teen*
mariana hot virgin*
German Rape*
SKINny Lolita French Teen*
BlondeShow*
(sHow)
3D
3.0
(Eng)
v4.5
(Rated)
ClubExtreme_
Story015_
Gipsy
Elfbowl
snowball_fight_
mTVCharts_
3.3
(zip)
(sHow)
3D
(Eng)
_v1.1
BoxDave_
Pamela*
KamaSutra
Fishfood
Story017_
16Yr_Old_Teen*
mTV_Charts_
(sHow)
3D
(Eng)
2.3
dreamy
candy_f
标签:
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点,本站所提供的摄影照片,插画,设计作品,如需使用,请与原作者联系,版权归原作者所有
上一篇:Worm.Colevo.b
下一篇:Worm.Welchia
IDC资讯: 主机资讯 注册资讯 托管资讯 vps资讯 网站建设
网站运营: 建站经验 策划盈利 搜索优化 网站推广 免费资源
网络编程: Asp.Net编程 Asp编程 Php编程 Xml编程 Access Mssql Mysql 其它
服务器技术: Web服务器 Ftp服务器 Mail服务器 Dns服务器 安全防护
软件技巧: 其它软件 Word Excel Powerpoint Ghost Vista QQ空间 QQ FlashGet 迅雷
网页制作: FrontPages Dreamweaver Javascript css photoshop fireworks Flash
