Worm.Roron.55.F,是一種蠕蟲病毒,它會通過寫註冊表、寫分區自啟動檔案、寫系統啟動檔案三種方面來達到病毒隨系統啟動的目的,只要硬碟上存在有病毒的檔案,用戶無需直接運行該病毒,就能自動將病毒執行起來。
基本介紹
概述,病毒的發現與清除,解決方案,
概述
別惹我(Worm.Roron.55.F)病毒檔案
知識庫編號: RSV0512290
內容分類: 蠕蟲病毒
關鍵字: 別惹我;Worm.Roron.55.F
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
別惹我(Worm.Roron.55.F)病毒檔案
病毒評估
警惕程度:★★★★★
發作時間:隨機
傳播途徑:網路/郵件
依賴系統: WINDOWS 9X/NT/ 2000/XP
病毒介紹
該病毒會接管EXE的檔案關聯,當系統運行任何程式時都會先將病毒執行起來,而該病毒還有幹掉國外十幾家知名防毒軟體的特性,因此安裝了這些防毒軟體的用戶只要啟動計算機,這些防毒軟體就會被自動幹掉。
該病毒還具有很強的網路傳播特性。病毒運行時會將自己拷貝到區域網路的所有計算機的已分享資料夾之中,然後採用雙後綴的技術將自己偽裝成多種類型媒體檔案和捷徑的形式,如果用戶誤因為是媒體檔案或捷徑而點擊的話,病毒就會立刻被激活,從而導致整個區域網路帶毒。
病毒的發現與清除
1. 病毒運行時會首先釋放三個病毒體到系統:DX89AM32.EXE、DESK.EXE、COMMON.EXE,然後釋放FAITH.INI檔案,最後病毒還會釋放幾個sys和def檔案,名稱隨機。是病毒的配置檔案。用戶可以搜尋計算機,來查找這些檔案,找到後,可以將它們直接刪除,如果有些檔案無法刪除,則可以退到DOS下來做刪除操作。
2. 病毒通過三種方式自啟動:
·寫入註冊表項HKLM\Software\Microsoft\Windows\CurrentVersion\Run,在其中建立名稱為:“LoadSystem”和“CommonAgent”的病毒自啟動鍵值。
· 如果根目錄有檔案Autorun.inf ,則病毒將自己寫入,以便用戶查看分區時病毒感染。
· 修改win.ini的run項,在其中加入病毒的自啟動路徑。
用戶可以按照上面說的,用REGEDIT等註冊表編輯工具來刪除在註冊表中產生的病毒鍵值,如果用戶分區中,如C糟存在有Autorun.inf檔案,則最好將這個檔案刪除,如果確實是用戶需要的檔案,則用戶可以用記事本等文本編輯工具來查看Autorun.inf檔案,看其中是否有病毒相關的項,如果有,則可以將它們刪除;用戶還需要查看系統目錄下的WIN.INI檔案內容,看其中的啟動項是否被替換成病毒的路徑,如果有,則將這一項刪除。
3. 病毒會修改註冊表項設定:exefile\shell\open\command,接管exe檔案關聯。當用戶運行程式時,病毒首先被啟動,如果程式名稱中包含下列字元串,則病毒拒絕執行該程式,這樣這些防毒軟體就會失效:virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda,用戶要想修改這個關聯鍵值,必須對註冊表非常熟悉,否則會出現其它異常情況,用戶最好能用一些專業的工具如“超級兔子”來進行修改,或用該病毒的專殺工具來自動將這一鍵值改回
4. 病毒會遍歷記憶體中的所有進程,發現記憶體中有上述名稱的進程在活動,則直接殺死該進程,使這些正在運行的防毒軟體立刻失效。
5. 病毒會遍歷作業系統的所有視窗,發現包含有下列字元串的視窗標題時,病毒就會給這些視窗傳送“WM_CLOSE”訊息,將這些視窗關閉,因為這些視窗都是防毒軟體的主程式視窗,所以病毒運行後,這些防毒軟體的防毒界面將無法再顯示,以下就是病毒關閉的視窗名稱字元串:black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap、avpalarm、f-prot、secure、labs、antivir。
6. 病毒會遍歷硬碟中的所有目錄,包括區域網路中的已分享資料夾與默認共享目錄,並釋放病毒拷貝,名稱隨機,檔案後綴為以下字元串,病毒產生後綴名為:.pif、.scr、.asf、.mpg,附錄中會提供可能的病毒名,
7. 病毒創建註冊表exe檔案關聯項和系統目錄的監控執行緒,當用戶手工更改註冊表相關設定,或刪除系統中的病毒檔案時,會被病毒自動恢復。
8. 如果用戶的計算機中有mIRC即時通信軟體,則病毒會釋放自己的ini檔案,然後利用這些軟體來傳播自己,以下是病毒建立的INI檔案列表:mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。
9. 病毒會頻繁地搜尋標題為“Outlook Express”、“Choose Profile”和“Internet Mail”的視窗,發現後並將其隱藏。這樣當病毒使用系統MAPI向外傳送病毒郵件時,用戶就無法察覺。
10. 病毒會查詢本地的郵件伺服器設定,然後利用MAPI傳送帶毒郵件。這個郵件利用了MIME漏洞,只要用戶預覽自動運行。郵件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.
Yahoo!Tennis.scr
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
發現這種內容的郵件時,用戶可直接將這些檔案刪除。
11. 病毒會創建註冊表exe檔案關聯項和系統目錄的監控執行緒,只要用戶手工更改設定或刪除系統中的病毒檔案,病毒就會發覺,然後會自動恢復成原來的狀態。
12. 如果有mIRC通信軟體,病毒會釋放自己的ini檔案,利用這些軟體傳播自己。 以下是病毒釋放的病毒檔案:Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini,如果用戶安裝了mIRC軟體,可以檢查一下軟體目錄中是否存在有這些檔案,如果有則可能中了該病毒,需要用防毒軟體清除病毒,或重裝該軟體。
用戶如果在自己的計算機中發現以上全部或部分現象,則很有可能中了“別惹我(Worm.Roron.55.F)”病毒。
解決方案
1、瑞星防毒軟體15.49.11之後的版本可以徹底攔截此病毒。