病毒名称(中文):
病毒别名:
Net-Worm.Win32.Zorin.a[AVP]
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
67072
影响系统:
Win9xWinNT
病毒行为:
这个一个会感染可执行文件的蠕虫病毒。该病毒会终止金山毒霸、金山网镖、天网防火墙等安全软件,大大降低了用户机器的安全性能;病毒会释放一个DLL文件的蠕虫病毒,并将该DLL文件注入到EXPLORER.EXE进程中;病毒修改“hosts”文件,是得用户访问许多常用网址时重定向到指定的网址,可能使用户中新的病毒;病毒将自身复制到可写的网络磁盘中,并通过猜测密码感染局域网中更多的计算机;病毒还会感染本地计算机所有磁盘中的EXE文件,除了某些常见目录中的文件,如system、system32、windows、DocumentsandSettings、SystemVolumeInformation等等。
1.在当前目录释放DLL文件virDLL.dll(Worm.Logo.d),并将它远程注入到EXPLORER.EXE进程中。
2.添加注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto"="1"
3.查找窗口名和窗口类为:
RavMon.exe
RavMonClass
天网防火墙个人版
Tapplication
天网防火墙企业版
TForm1
噬菌体
TfLockDownMain
的窗口并关闭它们。
终止进程:
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
KWatchUI.EXE
IPARMOR.EXE
卸载密码防盗专家综合版。
4.修改%System32\drivers\etc\hosts文件将许多常用网址重定向到某个指定网址,病毒修在hosts文件尾部增加以下内容:
66.197.186.149www.hinet.net
66.197.186.149www.pchome.com.tw
66.197.186.149www.msn.com.tw
66.197.186.149www.yam.com
66.197.186.149www.google.com.tw
66.197.186.149www.gamer.com.tw
66.197.186.149www.taiwankiss.com
66.197.186.149www.sina.com.tw
66.197.186.149www.so-net.net.tw
66.197.186.149www.uhome.net
66.197.186.149www.gamania.com
66.197.186.149www.104.com.tw
66.197.186.149www.tp.edu.tw
66.197.186.149www.seed.net.tw
66.197.186.149www.tw18.com
66.197.186.149www.gamebase.com.tw
66.197.186.149www.hello.com.tw
66.197.186.149www.taiwandns.com
66.197.186.149www.ithome.com.tw
66.197.186.149www.cartoonnetwork.com.tw
66.197.186.149bubble.com.tw
66.197.186.149tw.ebay.com
66.197.186.149www.microsoft.com
66.197.186.149www.oc-gamer.com
66.197.186.149www.igame.com.tw
66.197.186.149www.funtown.com.tw
66.197.186.149www.softstar.com.tw
66.197.186.149service.gamania.com
66.197.186.149www.gamezone.idv.tw
66.197.186.149www.ggame.com.tw
66.197.186.149www.gamestation.com.tw
66.197.186.149www.lineage2.com.tw
66.197.186.149tw.games.yahoo.com
66.197.186.149www.iogc.com.tw
66.197.186.149www.transakt.com.tw
66.197.186.149www.softking.com.tw
66.197.186.149groups.msn.com
66.197.186.149www.mofa.com.tw
66.197.186.149dir.pchome.com.tw
66.197.186.149www.sa.game.tw
66.197.186.149www.books.com.tw
66.197.186.149www.gamemaster.com
66.197.186.149www.newspace.com.tw
66.197.186.149www.e-box.net.tw
66.197.186.149gnn.gamer.com.tw
66.197.186.149pc.gamebase.com.tw
66.197.186.149twbbs.net.tw
66.197.186.149www.twindex.com.tw
66.197.186.149www.t2t.com.tw
66.197.186.149www.girl-tw.com
66.197.186.149www.sogi.com.tw
66.197.186.149hdvd.com.tw
66.197.186.149cgi.tw.ebay.com
66.197.186.149movie.kingnet.com.tw
66.197.186.149www.atmovies.com.tw
66.197.186.149www.movie.com.tw
66.197.186.149www.kokoro.com.tw
66.197.186.149www.twgirls.net
66.197.186.149bbs.vips.com.tw
66.197.186.149www.symantec.com
66.197.186.149www.symantec.com.tw
66.197.186.149liveupdate.symantecliveupdate.com
5.将自身复制到可写的网络磁盘中,以感染更多机器;通过猜测密码感染局域网中计算机的ipc$、admin$。
6.感染本地计算机所有磁盘中的EXE文件,除了名字为以下字符串的目录中的文件:
system
system32
windows
DocumentsandSettings
SystemVolumeInformation
Recycled
winnt
WindowsNT
WindowsUpdate
WindowsMediaPlayer
OutlookExpress
InternetExplorer
ComPlusApplications
NetMeeting
CommonFiles
Messenger
MicrosoftOffice
InstallShieldInstallationInformation
MSN
MicrosoftFrontpage
MovieMaker
MSNGamingZone
病毒将自身写入被感染文件的头部。
