概述

病毒的发现与清除

解决方案

概述

别惹我（Worm.Roron.55.F）病毒档案

知识库编号： RSV0512290

内容分类： 蠕虫病毒

关键词： 别惹我;Worm.Roron.55.F

适用操作系统：Windows 操作系统

适用操作系统补丁版本：全部补丁适用

别惹我（Worm.Roron.55.F）病毒档案

病毒评估

警惕程度：★★★★★

发作时间：随机

病毒类型：蠕虫病毒

传播途径：网络/邮件

依赖系统: WINDOWS 9X/NT/ 2000/XP

病毒介绍

该病毒会通过写注册表、写分区自启动文件、写系统启动文件三种方面来达到病毒随系统启动的目的，只要硬盘上存在有病毒的文件，用户无需直接运行该病毒，就能自动将病毒执行起来。

该病毒会接管EXE的文件关联，当系统运行任何程序时都会先将病毒执行起来，而该病毒还有干掉国外十几家知名杀毒软件的特性，因此安装了这些杀毒软件的用户只要启动计算机，这些杀毒软件就会被自动干掉。

该病毒还具有很强的网络传播特性。病毒运行时会将自己拷贝到局域网的所有计算机的共享目录之中，然后采用双后缀的技术将自己伪装成多种类型媒体文件和快捷方式的形式，如果用户误因为是媒体文件或快捷方式而点击的话，病毒就会立刻被激活，从而导致整个局域网带毒。

病毒的发现与清除

1. 病毒运行时会首先释放三个病毒体到系统：DX89AM32.EXE、DESK.EXE、COMMON.EXE，然后释放FAITH.INI文件，最后病毒还会释放几个sys和def文件，名称随机。是病毒的配置文件。用户可以搜索计算机，来查找这些文件，找到后，可以将它们直接删除，如果有些文件无法删除，则可以退到DOS下来做删除操作。

2. 病毒通过三种方式自启动：

·写入注册表项HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run，在其中建立名称为：“LoadSystem”和“CommonAgent”的病毒自启动键值。

· 如果根目录有文件Autorun.inf ，则病毒将自己写入，以便用户查看分区时病毒感染。

· 修改win.ini的run项，在其中加入病毒的自启动路径。

用户可以按照上面说的，用REGEDIT等注册表编辑工具来删除在注册表中产生的病毒键值，如果用户分区中,如C盘存在有Autorun.inf文件，则最好将这个文件删除，如果确实是用户需要的文件，则用户可以用记事本等文本编辑工具来查看Autorun.inf文件，看其中是否有病毒相关的项，如果有，则可以将它们删除；用户还需要查看系统目录下的WIN.INI文件内容，看其中的启动项是否被替换成病毒的路径，如果有，则将这一项删除。

3. 病毒会修改注册表项设置：exefile\\shell\\open\\command，接管exe文件关联。当用户运行程序时，病毒首先被启动，如果程序名称中包含下列字符串，则病毒拒绝执行该程序，这样这些杀毒软件就会失效：virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda，用户要想修改这个关联键值，必须对注册表非常熟悉，否则会出现其它异常情况，用户最好能用一些专业的工具如“超级兔子”来进行修改，或用该病毒的专杀工具来自动将这一键值改回

4. 病毒会遍历内存中的所有进程，发现内存中有上述名称的进程在活动，则直接杀死该进程，使这些正在运行的杀毒软件立刻失效。

5. 病毒会遍历操作系统的所有窗口，发现包含有下列字符串的窗口标题时，病毒就会给这些窗口发送“WM_CLOSE”消息，将这些窗口关闭，因为这些窗口都是杀毒软件的主程序窗口，所以病毒运行后，这些杀毒软件的杀毒界面将无法再显示，以下就是病毒关闭的窗口名称字符串：black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap、avpalarm、f-prot、secure、labs、antivir。

6. 病毒会遍历硬盘中的所有目录,包括局域网中的共享目录与默认共享目录，并释放病毒拷贝，名称随机，文件后缀为以下字符串，病毒产生后缀名为：.pif、.scr、.asf、.mpg，附录中会提供可能的病毒名，

7. 病毒创建注册表exe文件关联项和系统目录的监控线程，当用户手工更改注册表相关设置，或删除系统中的病毒文件时，会被病毒自动恢复。

8. 如果用户的计算机中有mIRC即时通信软件，则病毒会释放自己的ini文件，然后利用这些软件来传播自己，以下是病毒建立的INI文件列表：mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。

9. 病毒会频繁地搜索标题为“Outlook Express”、“Choose Profile”和“Internet Mail”的窗口，发现后并将其隐藏。这样当病毒使用系统MAPI向外发送病毒邮件时，用户就无法察觉。

10. 病毒会查询本地的邮件服务器设置，然后利用MAPI发送带毒邮件。这个邮件利用了MIME漏洞，只要用户预览自动运行。邮件正文包含下列信息：

Yahoo! Greetings is a free service. If you'd like to send someone a

Yahoo! Greeting, you can do so at http://greetings.

Yahoo!Tennis.scr

Yahoo! Team is proud to present our new surprise

for the clients of Yahoo! and Yahoo! Mail.

We plan to send you the best Yahoo! Games weekly.

This new service is free and it's a gift for the 10th

anniversary of Yahoo!. We hope you would like it.

The whole Yahoo! Team wants to express our gratitude to

you, the people who helped us to improve Yahoo! so much,

that it became the most popular worldwide portal.

Thank You!

We do our best to serve you.

发现这种内容的邮件时，用户可直接将这些文件删除。

11. 病毒会创建注册表exe文件关联项和系统目录的监控线程，只要用户手工更改设置或删除系统中的病毒文件，病毒就会发觉，然后会自动恢复成原来的状态。

12. 如果有mIRC通信软件，病毒会释放自己的ini文件，利用这些软件传播自己。 以下是病毒释放的病毒文件：Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini，如果用户安装了mIRC软件，可以检查一下软件目录中是否存在有这些文件，如果有则可能中了该病毒，需要用杀毒软件清除病毒，或重装该软件。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“别惹我（Worm.Roron.55.F）”病毒。

解决方案

1、瑞星杀毒软件15.49.11之后的版本可以彻底拦截此病毒。

2、使用瑞星公司免费提供的“别惹我”病毒专杀工具查杀，下载地址