Net-Worm.Win32.Zorin.a 这个一个会感染可执行文件的蠕虫病毒。该病毒会终止金山毒霸、金山网镖、天网防火墙等安全软件，大大降低了用户机器的安全性能;病毒会释放一个DLL文件的蠕虫病毒，并将该DLL文件注入到EXPLORER.EXE进程中;病毒修改“hosts”文件，是得用户访问许多常用网址时重定向到指定的网址，可能使用户中新的病毒。

摘要

　　病毒别名：Net-Worm.Win32.Zorin.a[AVP]

　　威胁级别：★★

　　中文名称：

　　病毒类型：蠕虫

　　影响系统：Win9x / WinNT

　　病毒行为:

　　病毒将自身复制到可写的网络磁盘中，并通过猜测密码感染局域网中更多的计算机;病毒还会感染本地计算机所有磁盘中的EXE文件，除了某些常见目录中的文件，如system、system32、windows、Documents and Settings、System Volume Information等等。

病毒侵染过程

　　注册表的修改

　　在当前目录释放DLL文件virDLL.dll(Worm.Logo.d)，并将它远程注入到EXPLORER.EXE进程中。

　　添加注册表键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

　　"auto"="1"

　　查找窗口名和窗口类为：

　　RavMon.exe

　　RavMonClass

　　天网防火墙个人版

　　Tapplication

　　天网防火墙企业版

　　TForm1

　　噬菌体

　　TfLockDownMain

　　的窗口并关闭它们。

　　终止进程

　　EGHOST.EXE

　　MAILMON.EXE

　　KAVPFW.EXE

　　KWatchUI.EXE

　　IPARMOR.EXE

　　卸载密码防盗专家 综合版。

修改内容

　　修改%System32\drivers\etc\hosts文件将许多常用网址重定向到某个指定网址，病毒修在hosts文件尾部增加以下内容：

　　66.197.186.149 www.hinet.net

　　66.197.186.149 www.pchome.com.tw

　　66.197.186.149 www.msn.com.tw

　　66.197.186.149 www.yam.com

　　66.197.186.149 www.google.com.tw

　　66.197.186.149 www.gamer.com.tw

　　66.197.186.149 www.taiwankiss.com

　　66.197.186.149 www.sina.com.tw

　　66.197.186.149 www.so-net.net.tw

　　66.197.186.149 www.uhome.net

　　66.197.186.149 www.gamania.com

　　66.197.186.149 www.104.com.tw

　　66.197.186.149 www.tp.edu.tw

　　66.197.186.149 www.seed.net.tw

　　66.197.186.149 www.tw18.com

　　66.197.186.149 www.gamebase.com.tw

　　66.197.186.149 www.hello.com.tw

　　66.197.186.149 www.taiwandns.com

　　66.197.186.149 www.ithome.com.tw

　　66.197.186.149 www.cartoonnetwork.com.tw

　　66.197.186.149 bubble.com.tw

　　66.197.186.149 tw.ebay.com

　　66.197.186.149 www.microsoft.com

　　66.197.186.149 www.oc-gamer.com

　　66.197.186.149 www.igame.com.tw

　　66.197.186.149 www.funtown.com.tw

　　66.197.186.149 www.softstar.com.tw

　　66.197.186.149 service.gamania.com

　　66.197.186.149 www.gamezone.idv.tw

　　66.197.186.149 www.ggame.com.tw

　　66.197.186.149 www.gamestation.com.tw

　　66.197.186.149 www.lineage2.com.tw

　　66.197.186.149 tw.games.yahoo.com

　　66.197.186.149 www.iogc.com.tw

　　66.197.186.149 www.transakt.com.tw

　　66.197.186.149 www.softking.com.tw

　　66.197.186.149 groups.msn.com

　　66.197.186.149 www.mofa.com.tw

　　66.197.186.149 dir.pchome.com.tw

　　66.197.186.149 www.sa.game.tw

　　66.197.186.149 www.books.com.tw

　　66.197.186.149 www.gamemaster.com

　　66.197.186.149 www.newspace.com.tw

　　66.197.186.149 www.e-box.net.tw

　　66.197.186.149 gnn.gamer.com.tw

　　66.197.186.149 pc.gamebase.com.tw

　　66.197.186.149 twbbs.net.tw

　　66.197.186.149 www.twindex.com.tw

　　66.197.186.149 www.t2t.com.tw

　　66.197.186.149 www.girl-tw.com

　　66.197.186.149 www.sogi.com.tw

　　66.197.186.149 hdvd.com.tw

　　66.197.186.149 cgi.tw.ebay.com

　　66.197.186.149 movie.kingnet.com.tw

　　66.197.186.149 www.atmovies.com.tw

　　66.197.186.149 www.movie.com.tw

　　66.197.186.149 www.kokoro.com.tw

　　66.197.186.149 www.twgirls.net

　　66.197.186.149 bbs.vips.com.tw

　　66.197.186.149 www.symantec.com

　　66.197.186.149 www.symantec.com.tw

　　66.197.186.149 liveupdate.symantecliveupdate.com

　　将自身复制到可写的网络磁盘中，以感染更多机器;通过猜测密码感染局域网中计算机的ipc$、admin$。

　　感染本地计算机所有磁盘中的EXE文件，除了名字为以下字符串的目录中的文件：

　　system

　　system32

　　windows

　　Documents and Settings

　　System Volume Information

　　Recycled

　　winnt

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　ComPlus Applications

　　NetMeeting

　　Common Files

　　Messenger

　　Microsoft Office

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gaming Zone

　　病毒将自身写入被感染文件的头部。

清除方法

　　2.添加注册表键值：

　　HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

　　"auto"="0"

　　使用最新病毒库的杀毒软件进行查杀