词条 | Worm.Roron |
释义 | Roron(Worm.Roron)病毒分析报告 知识库编号: RSV0512289 内容分类: 蠕虫病毒 关键词: 别惹我;Worm.Roron 适用操作系统:Windows 操作系统 适用操作系统补丁版本:全部补丁适用 Roron(Worm.Roron)病毒分析报告 病毒评估 病毒类型:蠕虫病毒 发作时间:随机 传播方式:网络 感染对象:网络 病毒大小:118,784字节 警惕程度:★★★★ 病毒介绍 ?一款恶意报复型蠕虫病毒Roron(Worm.Roron),于2002年11月7日上午被瑞星公司全球病毒监测网率先拦截,并于当日进行紧急升级,用户只要升级瑞星便可完全清除此病毒。此病毒由高级语言编写,本身没有加密、压缩。 病毒特性 此病毒有以下特性: 一、拷贝自身,完成感染 ?病毒运行后会首先将自身复制到多份到操作系统的目录和操作系统下的SYSTEM目录,名字一般是随机的,但有两个病毒主程序的名字是固定的:一个是病毒的主程序体:RUNDLL16.EXE,存在于系统目录下,它主要用于病毒的正常运行;一个是病毒的配置文件:WINFILE.DLL,存在于系统的SYSTEM目录下,它主要用于病毒保存一些病毒生成的文件信息。 二、修改注册表,进行自启动 ?病毒会将病毒主程序体的路径加入注册表的自启动项,每次开机都引导病毒。病毒会在HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run项中添加键值:LoadCurrentProfile,内容为:Rundll16.exe, powprof.dll,LoadCurrentUserProfile. 三、首次运行,欺骗用户 ?如果病毒是被用户双击而且是首次运行,病毒会弹出一个WINZIP的错误框,告诉用户:“你的WINZIP自解压版本未被许可,或者许可信息丢失或不正确,请联系程序作者或登陆www.winzip.com网站获得更多信息”,用户一般的反映是此文件已经损坏而将之删除,其实病毒已经运行。 四、修改EXE文件关联,运行任何程序等于运行病毒 ?病毒会将注册表中的与.EXE文件类型的关联指向病毒体,这样,用户运行任何程序都等于运行了病毒,而且为了不引起用户的怀疑,病毒在运行后会将用户要执行的程序继续运行。 五、启动多线程,监控注册表与自身 ?病毒运行时会启动多个线程。其中一个线程负责监视注册表的操作,另一个线程负责监控自身的文件。如果病毒发现注册表中被病毒写入的两个键值被修改,或者病毒文件被用户尝试删除,病毒则会将自己休眠5秒,然后进行报复,将用户硬盘中的所有文件都进行删除,使用户资料丢失。 六、删除所病毒软件 ?病毒会对十几家知名杀毒软件进行攻击,如果病毒运行时发现有它认识的杀毒软件的主程序,则将之杀掉。 七、局域网与邮件传播 ?病毒在有网络连接的前提下,会在局域网中快速传播自身,并通过邮件系统,建立主题与内容随机的病毒邮件,在互联网中大量传播自身。 八、修改多处系统配置文件 ?病毒还会修改多处系统文件如:MSDOS.SYS, WIN.INI等,而且在病毒体发现病毒有生成脚本文件的代码,但在动态分析过程中未能再现此动作。 解决方案 1、瑞星杀毒软件15.08.02 之后的版本可以彻底拦截此病毒。 2、使用瑞星公司免费提供的“别惹我”病毒专杀工具进行查杀,下载地址http://it.rising.com.cn/service/technology/RS_Roron.htm |
随便看 |
百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。