Worm.Zorin.a

Net-Worm.Win32.Zorin.a 這個一個會感染執行檔的蠕蟲病毒。該病毒會終止金山毒霸金山網鏢天網防火牆等安全軟體,大大降低了用戶機器的安全性能;病毒會釋放一個DLL檔案的蠕蟲病毒,並將該DLL檔案注入到EXPLORER.EXE進程中;病毒修改“hosts”檔案,是得用戶訪問許多常用網址時重定向到指定的網址,可能使用戶中新的病毒。

基本介紹

  • 外文名:Worm.Zorin.a
  • 影響系統:Win9x / WinNT
  • 威脅級別:★★
  • 病毒類型蠕蟲
摘要,病毒行為:,病毒侵染過程,註冊表的修改,終止進程,修改內容,清除方法,

摘要

病毒別名:Net-Worm.Win32.Zorin.a[AVP]

病毒行為:

病毒將自身複製到可寫的網路磁碟中,並通過猜測密碼感染區域網路中更多的計算機;病毒還會感染本地計算機所有磁碟中的EXE檔案,除了某些常見目錄中的檔案,如system、system32、windows、Documents and Settings、System Volume Information等等。

病毒侵染過程

註冊表的修改

當前目錄釋放DLL檔案virDLL.dll(Worm.Logo.d),並將它遠程注入到EXPLORER.EXE進程中。
添加註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto"="1"
查找視窗名和視窗類為:
RavMon.exe
RavMonClass
天網防火牆個人版
Tapplication
天網防火牆企業版
TForm1
噬菌體
TfLockDownMain
的視窗並關閉它們。

終止進程

EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
KWatchUI.EXE
IPARMOR.EXE
卸載密碼防盜專家 綜合版。

修改內容

修改%System32\drivers\etc\hosts檔案將許多常用網址重定向到某個指定網址,病毒修在hosts檔案尾部增加以下內容:
66.197.186.149 www.hinet.net
66.197.186.149 www.pchome.com.tw
66.197.186.149 www.msn.com.tw
66.197.186.149 www.yam.com
66.197.186.149 www.google.com.tw
66.197.186.149 www.gamer.com.tw
66.197.186.149 www.taiwankiss.com
66.197.186.149 www.sina.com.tw
66.197.186.149 www.so-net.net.tw
66.197.186.149 www.uhome.net
66.197.186.149 www.gamania.com
66.197.186.149 www.104.com.tw
66.197.186.149 www.tp.edu.tw
66.197.186.149 www.seed.net.tw
66.197.186.149 www.tw18.com
66.197.186.149 www.gamebase.com.tw
66.197.186.149 www.hello.com.tw
66.197.186.149 www.taiwandns.com
66.197.186.149 www.ithome.com.tw
66.197.186.149 www.cartoonnetwork.com.tw
66.197.186.149 bubble.com.tw
66.197.186.149 tw.ebay.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.oc-gamer.com
66.197.186.149 www.igame.com.tw
66.197.186.149 www.funtown.com.tw
66.197.186.149 www.softstar.com.tw
66.197.186.149 service.gamania.com
66.197.186.149 www.gamezone.idv.tw
66.197.186.149 www.ggame.com.tw
66.197.186.149 www.gamestation.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 tw.games.yahoo.com
66.197.186.149 www.iogc.com.tw
66.197.186.149 www.transakt.com.tw
66.197.186.149 www.softking.com.tw
66.197.186.149 groups.msn.com
66.197.186.149 www.mofa.com.tw
66.197.186.149 dir.pchome.com.tw
66.197.186.149 www.sa.game.tw
66.197.186.149 www.books.com.tw
66.197.186.149 www.gamemaster.com
66.197.186.149 www.newspace.com.tw
66.197.186.149 www.e-box.net.tw
66.197.186.149 gnn.gamer.com.tw
66.197.186.149 pc.gamebase.com.tw
66.197.186.149 twbbs.net.tw
66.197.186.149 www.twindex.com.tw
66.197.186.149 www.t2t.com.tw
66.197.186.149 www.girl-tw.com
66.197.186.149 www.sogi.com.tw
66.197.186.149 hdvd.com.tw
66.197.186.149 cgi.tw.ebay.com
66.197.186.149 movie.kingnet.com.tw
66.197.186.149 www.atmovies.com.tw
66.197.186.149 www.movie.com.tw
66.197.186.149 www.kokoro.com.tw
66.197.186.149 www.twgirls.net
66.197.186.149 bbs.vips.com.tw
66.197.186.149 www.symantec.com
66.197.186.149 www.symantec.com.tw
66.197.186.149 liveupdate.symantecliveupdate.com
將自身複製到可寫的網路磁碟中,以感染更多機器;通過猜測密碼感染區域網路中計算機的ipc$、admin$。
感染本地計算機所有磁碟中的EXE檔案,除了名字為以下字元串的目錄中的檔案:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
病毒將自身寫入被感染檔案的頭部。

清除方法

2.添加註冊表鍵值
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto"="0"
使用最新病毒庫的防毒軟體進行查殺

相關詞條

熱門詞條

聯絡我們