Roron

Roron(Worm.Roron),2002年11月7日上午被瑞星公司全球病毒監測網率先攔截。此病毒由高級語言編寫,本身沒有加密、壓縮。通過網路進行傳播,此病毒程式具有拷貝自身,完成感染;修改註冊表,進行自啟動;修改EXE檔案關聯,運行任何程式等於運行病毒檔案;啟動多執行緒,監控註冊表與自身等破壞性特徵。及時升級防毒軟體,可有效查殺該病毒程式。

基本介紹

  • 中文名:Roron
  • 內容分類: 蠕蟲病毒
  • 關鍵字: 別惹我;Worm.Roron
  • 知識庫編號: RSV0512289
程式概述,病毒介紹,

程式概述

Roron(Worm.Roron)病毒分析報告
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
Roron(Worm.Roron)病毒分析報告
病毒評估
傳播方式:網路
感染對象:網路
病毒大小:118,784位元組
警惕程度:★★★★

病毒介紹

病毒特性
此病毒有以下特性:
一、拷貝自身,完成感染
?病毒運行後會首先將自身複製到多份到作業系統的目錄和作業系統下的SYSTEM目錄,名字一般是隨機的,但有兩個病毒主程式的名字是固定的:一個是病毒的主程式體:RUNDLL16.EXE,存在於系統目錄下,它主要用於病毒的正常運行;一個是病毒配置檔案:WINFILE.DLL,存在於系統的SYSTEM目錄下,它主要用於病毒保存一些病毒生成的檔案信息。
二、修改註冊表,進行自啟動
?病毒會將病毒主程式體的路徑加入註冊表的自啟動項,每次開機都引導病毒。病毒會在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中添加鍵值:LoadCurrentProfile,內容為:Rundll16.exe, powprof.dll,LoadCurrentUserProfile.
三、首次運行,欺騙用戶
?如果病毒是被用戶雙擊而且是首次運行,病毒會彈出一個WINZIP的錯誤框,告訴用戶:“你的WINZIP自解壓版本未被許可,或者許可信息丟失或不正確,請聯繫程式作者或登入網站獲得更多信息”,用戶一般的反映是此檔案已經損壞而將之刪除,其實病毒已經運行
四、修改EXE檔案關聯,運行任何程式等於運行病毒
?病毒會將註冊表中的與.EXE檔案類型的關聯指向病毒體,這樣,用戶運行任何程式都等於運行了病毒,而且為了不引起用戶的懷疑,病毒在運行後會將用戶要執行的程式繼續運行。
五、啟動多執行緒,監控註冊表與自身
?病毒運行時會啟動多個執行緒。其中一個執行緒負責監視註冊表的操作,另一個執行緒負責監控自身的檔案。如果病毒發現註冊表中被病毒寫入的兩個鍵值被修改,或者病毒檔案被用戶嘗試刪除,病毒則會將自己休眠5秒,然後進行報復,將用戶硬碟中的所有檔案都進行刪除,使用戶資料丟失。
六、刪除所病毒軟體
?病毒會對十幾家知名防毒軟體進行攻擊,如果病毒運行時發現有它認識的防毒軟體的主程式,則將之殺掉。
七、區域網路與郵件傳播
?病毒在有網路連線的前提下,會在區域網路中快速傳播自身,並通過郵件系統,建立主題與內容隨機的病毒郵件,在網際網路中大量傳播自身。
八、修改多處系統配置檔案
?病毒還會修改多處系統檔案如:MSDOS.SYS, WIN.INI等,而且在病毒體發現病毒有生成腳本檔案的代碼,但在動態分析過程中未能再現此動作。
解決方案
1、瑞星防毒軟體15.08.02 之後的版本可以徹底攔截此病毒。
2、使用瑞星公司免費提供的“別惹我”病毒專殺工具進行查殺。

相關詞條

熱門詞條

聯絡我們