Worm.Roron.55.f_病毒数据库

病毒名称: Worm.Roron.55.f 类别：蠕虫病毒病毒资料：      破坏方法：

    一、病毒首先释放三个拷贝到系统：

    DX89AM32.EXE、
    DESK.EXE、
    COMMON.EXE；
    释放FAITH.INI；

    还会释放几个sys和def文件，名称随机。是病毒的配置文件。

    二、病毒通过三中方式自启动。

    1.写入注册表项

    HKLM\Software\Microsoft\Windows
    \CurrentVersion\Run
    LoadSystem和CommonAgent；

    2.如果根目录有文件Autorun.inf ，将自己写入；

    3.修改win.ini的run项。

    三、
    1.
    病毒破坏注册表项设置：exefile\shell\open\command，接管exe文件关联。当用户运行程序时，病毒首先被启动。
    如果程序名称中包含下列字符串，病毒则拒绝执行那个程序，这样很多杀毒软件失效了：
    virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、McAfee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kASPersky 、panda

    2.病毒遍历进程，发现进程名称有上述字符串，则杀死那个进程。

    3.病毒遍历窗口，发现标题包含字符串：

    black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap
    avpalarm、f-prot、secure、labs、antivir，
    就向那个窗口发送WM_CLOSE消息，使之关闭。

    四、
    病毒频繁的搜索标题为“Outlook EXPress”、“Choose Profile”和“Internet Mail”的窗口，发现后隐藏。这样，病毒在使用系统MAPI发送病毒邮件时，系统不会提示用户，病毒就不会被用户察觉。


    五、本地文件传播

    遍历硬盘目录，释放病毒拷贝，名称随机。

    可能的后缀名：
    .pif、.scr、.pif、.scr、.asf、.mpg、.asf、.avi、.mpg
    可能的文件名称，请参考后面。

    六、局域网传播

    枚举局域网可写目录，将自己拷贝过去。

    七、邮件传播

    病毒查询本地邮件服务器设置，发送携带病毒的邮件。这个邮件利用漏洞自动运行。

    邮件正文包含下列信息：
    Yahoo! Greetings is a free service. If you'd like to send someone a
    Yahoo! Greeting, you can do so at http://greetings.yahoo.com
    ％s sent you a Yahoo! Greeting_
    support@games.yahoo.com
    Yahoo!Tennis.scr
    Yahoo! Team is proud to present our new surprise
    for the clients of Yahoo! and Yahoo! Mail.
    We plan to send you the best Yahoo! Games weekly.
    This new service is free and it's a gift for the 10th
    anniversary of Yahoo!. We hope you would like it.
    The whole Yahoo! Team wants to express our gratitude to
    you, the people who helped us to improve Yahoo! so mUCh,
    that it became the most popular worldwide portal.
    Thank You!
    We do our best to serve you.

    八、病毒创建注册表exe文件关联项和系统目录的监控线程。
    这样用户手工更改设置，或删除系统中的病毒文件，都是无效的，因为病毒会自动恢复。

    九、如果有mIRC通信软件，病毒会释放自己的ini文件，利用这些软件传播自己。

    mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini、

    [参考]
    病毒可能采用的文件名称：
    KaZaA Media Desktop v2.13_
    Serials2K 7.1 (FULL Updated)_
    Serials2003_8.0(14.02.03)_
    Dreamweaver_MX_Update_
    ACDSee
    WinAMP_3.1_Cool_
    Download Accelerator 5.5_

    Nero Burning Rom 5.7.7.3_cReditCarDs_gEn
    Mail HACK
    WinXP Crack PassWord
    DiViDiX Coder 5.0 Beta_
    Eminem BioData
    DMX Desktop
    NFS HP Bonus Cars_
    Counter Strike 1.5 (Hack)_
    WinZip Password Crack
    WinZip 8.1(FULL)_
    DivX 5.5 Full_

    7.1 FULL
    v5.5
    (zip)
    3.0
    (Eng)
    (Cracked)
    Nice Girl*
    15 years old blonde*
    Shakira Boobs_
    Pamela3D_
    17year old teen babysitter*
    KamaSutra*
    Teen raped in bathroom*
    Teen_Sex_Cam
    Sarah fingers pussy on webcam*
    Silvia Saint Theme_
    Russian_Teen*
    mariana hot virgin*
    German Rape*
    SKINny Lolita French Teen*
    BlondeShow*
    (sHow)
    3D
    3.0
    (Eng)
    v4.5
    (Rated)
    ClubExtreme_
    Story015_
    Gipsy
    Elfbowl
    snowball_fight_
    mTVCharts_
    3.3
    (zip)
    (sHow)
    3D
    (Eng)
    _v1.1
    BoxDave_
    Pamela*
    KamaSutra
    Fishfood
    Story017_
    16Yr_Old_Teen*
    mTV_Charts_
    (sHow)
    3D
    (Eng)
    2.3
    dreamy
    candy_f

    bryan16
    jerry
    baby_17
    neo
    trish1
    linda17
    monica
    nicole
    angel_f
    mellany
    iguana17
    blade
    badgirl
    wizzard
    blue16
    tweety
    alice
    jane17
    badboy
    rap_girl
    CrazyGirl
    happy
    amanda
    crazy
    mickey
    lady_f
    alex15
    sunny
    dave
    panda_f

    hotmail.com
    yahoo.com
    mail.com
    yahoo.co.uk
    usa.net
    europe.com
    aol.com
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ：      Windows下的PE病毒。
发现日期： 2003-8-22