基本介紹
- 中文名:別惹我
- 外文名:Worm.Roron
- 知識庫編號:RSV0512289
- 內容分類:蠕蟲病毒
- 關鍵字:別惹我;Worm.Roron
基本信息,特性,
基本信息
知識庫編號: RSV0512289
內容分類: 蠕蟲病毒
關鍵字: 別惹我;Worm.Roron
適用作業系統:Windows 作業系統
適用作業系統補丁版本:全部補丁適用
Roron(Worm.Roron)病毒分析報告
病毒評估
病毒類型:蠕蟲病毒
發作時間:隨機
傳播方式:網路
感染對象:網路
病毒大小:118,784位元組
警惕程度:★★★★
病毒特性
特性
一、拷貝自身,完成感染
?病毒運行後會首先將自身複製到多份到作業系統的目錄和作業系統下的SYSTEM目錄,名字一般是隨機的,但有兩個病毒主程式的名字是固定的:一個是病毒的主程式體:RUNDLL16.EXE,存在於系統目錄下,它主要用於病毒的正常運行;一個是病毒的配置檔案:WINFILE.DLL,存在於系統的SYSTEM目錄下,它主要用於病毒保存一些病毒生成的檔案信息。
二、修改註冊表,進行自啟動
?病毒會將病毒主程式體的路徑加入註冊表的自啟動項,每次開機都引導病毒。病毒會在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run項中添加鍵值:LoadCurrentProfile,內容為:Rundll16.exe, powprof.dll,LoadCurrentUserProfile.
三、首次運行,欺騙用戶
?如果病毒是被用戶雙擊而且是首次運行,病毒會彈出一個WINZIP的錯誤框,告訴用戶:“你的WINZIP自解壓版本未被許可,或者許可信息丟失或不正確,請聯繫程式作者或登入www.winzip.com網站獲得更多信息”,用戶一般的反映是此檔案已經損壞而將之刪除,其實病毒已經運行。
四、修改EXE檔案關聯,運行任何程式等於運行病毒
?病毒會將註冊表中的與.EXE檔案類型的關聯指向病毒體,這樣,用戶運行任何程式都等於運行了病毒,而且為了不引起用戶的懷疑,病毒在運行後會將用戶要執行的程式繼續運行。
五、啟動多執行緒,監控註冊表與自身
?病毒運行時會啟動多個執行緒。其中一個執行緒負責監視註冊表的操作,另一個執行緒負責監控自身的檔案。如果病毒發現註冊表中被病毒寫入的兩個鍵值被修改,或者病毒檔案被用戶嘗試刪除,病毒則會將自己休眠5秒,然後進行報復,將用戶硬碟中的所有檔案都進行刪除,使用戶資料丟失。
六、刪除所病毒軟體
?病毒會對十幾家知名防毒軟體進行攻擊,如果病毒運行時發現有它認識的防毒軟體的主程式,則將之殺掉。
七、區域網路與郵件傳播
?病毒在有網路連線的前提下,會在區域網路中快速傳播自身,並通過郵件系統,建立主題與內容隨機的病毒郵件,在網際網路中大量傳播自身。