Worm.Zorin.a病毒是什么
Net-Worm.Win32.Zorin.a 这个一个会感染可执行文件的蠕虫病毒。该病毒会终止金山毒霸、金山网镖、天网防火墙等安全软件,大大降低了用户机器的安全性能;病毒会释放一个DLL文件的蠕虫病毒,并将该DLL文件注入到EXPLORER.EXE进程中;病毒修改“hosts”文件,是得用户访问许多常用网址时重定向到指定的网址,可能使用户中新的病毒。
摘要
病毒别名:Net-Worm.Win32.Zorin.a[AVP]
威胁级别:★★
中文名称:
病毒类型:蠕虫
影响系统:Win9x / WinNT
病毒行为:
病毒将自身复制到可写的网络磁盘中,并通过猜测密码感染局域网中更多的计算机;病毒还会感染本地计算机所有磁盘中的EXE文件,除了某些常见目录中的文件,如system、system32、windows、Documents and Settings、System Volume Information等等。
病毒侵染过程
注册表的修改
在当前目录释放DLL文件virDLL.dll(Worm.Logo.d),并将它远程注入到EXPLORER.EXE进程中。
添加注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto"="1"
查找窗口名和窗口类为:
RavMon.exe
RavMonClass
天网防火墙个人版
Tapplication
天网防火墙企业版
TForm1
噬菌体
TfLockDownMain
的窗口并关闭它们。
终止进程
EGHOST.EXE
MAILMON.EXE
KAVPFW.EXE
KWatchUI.EXE
IPARMOR.EXE
卸载密码防盗专家 综合版。
修改内容
修改%System32\drivers\etc\hosts文件将许多常用网址重定向到某个指定网址,病毒修在hosts文件尾部增加以下内容:
66.197.186.149 www.hinet.net
66.197.186.149 www.pchome.com.tw
66.197.186.149 www.msn.com.tw
66.197.186.149 www.yam.com
66.197.186.149 www.google.com.tw
66.197.186.149 www.gamer.com.tw
66.197.186.149 www.taiwankiss.com
66.197.186.149 www.sina.com.tw
66.197.186.149 www.so-net.net.tw
66.197.186.149 www.uhome.net
66.197.186.149 www.gamania.com
66.197.186.149 www.104.com.tw
66.197.186.149 www.tp.edu.tw
66.197.186.149 www.seed.net.tw
66.197.186.149 www.tw18.com
66.197.186.149 www.gamebase.com.tw
66.197.186.149 www.hello.com.tw
66.197.186.149 www.taiwandns.com
66.197.186.149 www.ithome.com.tw
66.197.186.149 www.cartoonnetwork.com.tw
66.197.186.149 bubble.com.tw
66.197.186.149 tw.ebay.com
66.197.186.149 www.microsoft.com
66.197.186.149 www.oc-gamer.com
66.197.186.149 www.igame.com.tw
66.197.186.149 www.funtown.com.tw
66.197.186.149 www.softstar.com.tw
66.197.186.149 service.gamania.com
66.197.186.149 www.gamezone.idv.tw
66.197.186.149 www.ggame.com.tw
66.197.186.149 www.gamestation.com.tw
66.197.186.149 www.lineage2.com.tw
66.197.186.149 tw.games.yahoo.com
66.197.186.149 www.iogc.com.tw
66.197.186.149 www.transakt.com.tw
66.197.186.149 www.softking.com.tw
66.197.186.149 groups.msn.com
66.197.186.149 www.mofa.com.tw
66.197.186.149 dir.pchome.com.tw
66.197.186.149 www.sa.game.tw
66.197.186.149 www.books.com.tw
66.197.186.149 www.gamemaster.com
66.197.186.149 www.newspace.com.tw
66.197.186.149 www.e-box.net.tw
66.197.186.149 gnn.gamer.com.tw
66.197.186.149 pc.gamebase.com.tw
66.197.186.149 twbbs.net.tw
66.197.186.149 www.twindex.com.tw
66.197.186.149 www.t2t.com.tw
66.197.186.149 www.girl-tw.com
66.197.186.149 www.sogi.com.tw
66.197.186.149 hdvd.com.tw
66.197.186.149 cgi.tw.ebay.com
66.197.186.149 movie.kingnet.com.tw
66.197.186.149 www.atmovies.com.tw
66.197.186.149 www.movie.com.tw
66.197.186.149 www.kokoro.com.tw
66.197.186.149 www.twgirls.net
66.197.186.149 bbs.vips.com.tw
66.197.186.149 www.symantec.com
66.197.186.149 www.symantec.com.tw
66.197.186.149 liveupdate.symantecliveupdate.com
将自身复制到可写的网络磁盘中,以感染更多机器;通过猜测密码感染局域网中计算机的ipc$、admin$。
感染本地计算机所有磁盘中的EXE文件,除了名字为以下字符串的目录中的文件:
system
system32
windows
Documents and Settings
System Volume Information
Recycled
winnt
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
ComPlus Applications
NetMeeting
Common Files
Messenger
Microsoft Office
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gaming Zone
病毒将自身写入被感染文件的头部。
清除方法
2.添加注册表键值:
HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW
"auto"="0"
使用最新病毒库的杀毒软件进行查杀
