Worm.Roron.55.f

病毒名称:

Worm.Roron.55.f

类别： 蠕虫病毒

病毒资料：

破坏方法：

一、病毒首先释放三个拷贝到系统：

DX89AM32.EXE、

DESK.EXE、

COMMON.EXE；

释放FAITH.INI；

还会释放几个sys和def文件，名称随机。是病毒的配置文件。

二、病毒通过三中方式自启动。

1.写入注册表项

HKLM\Software\Microsoft\Windows

\CurrentVersion\Run

LoadSystem和CommonAgent；

2.如果根目录有文件Autorun.inf ，将自己写入；

3.修改win.ini的run项。

三、

1.

病毒破坏注册表项设置：exefile\shell\open\command，接管exe文件关联。当用户运行程序时，病毒首先被启动。

如果程序名称中包含下列字符串，病毒则拒绝执行那个程序，这样很多杀毒软件失效了：

virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、McAfee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kASPersky 、panda

2.病毒遍历进程，发现进程名称有上述字符串，则杀死那个进程。

3.病毒遍历窗口，发现标题包含字符串 ：

black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap

avpalarm、f-prot、secure、labs、antivir，

就向那个窗口发送WM_CLOSE消息，使之关闭。

四、

病毒频繁的搜索标题为“Outlook EXPress”、“Choose Profile”和“Internet Mail”的窗口，发现后隐藏。这样，病毒在使用系统MAPI发送病毒邮件时，系统不会提示用户，病毒就不会被用户察觉。

五、本地文件传播

遍历硬盘目录，释放病毒拷贝，名称随机。

可能的后缀名：

.pif、.scr、.pif、.scr、.asf、.mpg、.asf、.avi、.mpg

可能的文件名称，请参考后面。

六、局域网传播

枚举局域网可写目录，将自己拷贝过去。

七、邮件传播

病毒查询本地邮件服务器设置，发送携带病毒的邮件。这个邮件利用漏洞自动运行。

邮件正文包含下列信息：

Yahoo! Greetings is a free service. If you'd like to send someone a

Yahoo! Greeting, you can do so at http://greetings.yahoo.com

％s sent you a Yahoo! Greeting_

support@games.yahoo.com

Yahoo!Tennis.scr

Yahoo! Team is proud to present our new surprise

for the clients of Yahoo! and Yahoo! Mail.

We plan to send you the best Yahoo! Games weekly.

This new service is free and it's a gift for the 10th

anniversary of Yahoo!. We hope you would like it.

The whole Yahoo! Team wants to express our gratitude to

you, the people who helped us to improve Yahoo! so mUCh,

that it became the most popular worldwide portal.

Thank You!

We do our best to serve you.

八、病毒创建注册表exe文件关联项和系统目录的监控线程。

这样用户手工更改设置，或删除系统中的病毒文件，都是无效的，因为病毒会自动恢复。

九、如果有mIRC通信软件，病毒会释放自己的ini文件，利用这些软件传播自己。

mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini、

[参考]

病毒可能采用的文件名称：

KaZaA Media Desktop v2.13_

Serials2K 7.1 (FULL Updated)_

Serials2003_8.0(14.02.03)_

Dreamweaver_MX_Update_

ACDSee

WinAMP_3.1_Cool_

Download Accelerator 5.5_

Nero Burning Rom 5.7.7.3_cReditCarDs_gEn

Mail HACK

WinXP Crack PassWord

DiViDiX Coder 5.0 Beta_

Eminem BioData

DMX Desktop

NFS HP Bonus Cars_

Counter Strike 1.5 (Hack)_

WinZip Password Crack

WinZip 8.1(FULL)_

DivX 5.5 Full_

7.1 FULL

v5.5

(zip)

3.0

(Eng)

(Cracked)

Nice Girl*

15 years old blonde*

Shakira Boobs_

Pamela3D_

17year old teen babysitter*

KamaSutra*

Teen raped in bathroom*

Teen_Sex_Cam

Sarah fingers pussy on webcam*

Silvia Saint Theme_

Russian_Teen*

mariana hot virgin*

German Rape*

SKINny Lolita French Teen*

BlondeShow*

(sHow)

3D

3.0

(Eng)

v4.5

(Rated)

ClubExtreme_

Story015_

Gipsy

Elfbowl

snowball_fight_

mTVCharts_

3.3

(zip)

(sHow)

3D

(Eng)

_v1.1

BoxDave_

Pamela*

KamaSutra

Fishfood

Story017_

16Yr_Old_Teen*

mTV_Charts_

(sHow)

3D

(Eng)

2.3

dreamy

candy_f

bryan16

jerry

baby_17

neo

trish1

linda17

monica

nicole

angel_f

mellany

iguana17

blade

badgirl

wizzard

blue16

tweety

alice

jane17

badboy

rap_girl

CrazyGirl

happy

amanda

crazy

mickey

lady_f

alex15

sunny

dave

panda_f

hotmail.com

yahoo.com

mail.com

yahoo.co.uk

usa.net

europe.com

aol.com

病毒的清除法：

使用光华反病毒软件，彻底删除。

病毒演示：

病毒FAQ：

Windows下的PE病毒。

发现日期：

2003-8-22

• ·Worm.RPC.Zerg
• ·Worm.Blaster.a
• ·Worm.Sobig.f
• ·Worm.Welchia
• ·Worm.RPC.Sdbot.dll
• ·Worm.Colevo.b
• ·Harm.LaoRenShen.3.031
• ·Worm.Urick.d
• ·Worm.Zush
• ·Worm.Axam.