一款恶意报复型蠕虫病毒Roron(Worm.Roro来自n),于2002年11月7日上午被瑞星公司全球病毒监测网率先拦截,并于当日进行紧急升级,用户只要升级瑞星便可完全清除此病毒。此病毒由高级语言编写,本身没有加密、压缩。
- 中文名称 别惹我
- 外文名称 Worm.Roron
- 知识库编号 RSV0512289
- 内容分类 蠕虫病毒
- 关键词 别惹我;Worm.Roron
基本信息
知识库编号: RSV0512289
内容分类: 蠕虫病毒
关键词: 别惹我;Worm.Roron
适用操作系统:Windows 操作系统
适用操作系统补丁版本:全部补丁适用
Roron(Worm.Roron)病毒分析报告
病毒评估
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络
感染对来自象:网络
病毒大小:118,784字节
警惕程度:★★★★
病毒特性
特性
一、拷贝自身,完成感染
?病毒运行后会首先将自身复制到多份到操作系统的目录和操作系统下的SYSTE站执读研层顾肉M目录,名字一般是随机的,但径停际温有两个病毒主程序随护额经讲随的名字是固定的:一个是病毒的主程序体:RUNDLL16.EXE,存在于系统目促影她调流刚录下,它主要用于病毒的正常运行;一个是病毒的配置文件:伤古WINFILE.DLL360百科,存在于系统的SYSTEM百异查秋境味抓无皮目录下,它主要用于一非镇改北载月病毒保存一些病毒生成的文件信息。
二、修改注册表,进行自启动
?病毒会将病毒主程序体的路径加入注册表的自启动看片笑死松项,每次开机都引导病毒。病毒会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加键值:LoadCurrentProfile,内容为:Rundll16.ex冲星取个续能此路织e, powprof.dll,LoadCurrentUserProfile.
三、首次运行,欺骗用户
?如果病毒是被用父紧车激早户双击而且是首次运行,病毒会弹出一个WINZIP的错误框,告诉用户:"你的WINZIP自解压版本未被许可,或者许可信息丢失或不正确,请联系程序套子地掌光顾有作者或登陆www.winzip.com网站获得更多信息",用户一般的反映是此文件已经损坏而将之删除,其实病毒已经运行。
四、修改E呢棉种全XE文件关联,运行任何程序等于运行病毒
款烈量期果触百还煤加?病毒会将注册表中的与.E都秋止玉植液章市甲争回XE文件类型的关联脸胜胡西浓指向病毒体,这样,用户运行任何程序都等于运行了病毒,而且计研错利破克很官发为了不引起用户的怀疑,病毒在运行后会将用户要执行的程序继续运行。
五、启动多线程,监控注册表与自身
?病利他染派经病更温孙毒运行时会启动多个线防程。其中一个线程负责监视注册表的操作,另一个线程负责监控自身的文件。如果病毒发现注册表中被病毒写入的两个键值被修改,或者病毒文件被用户尝试删除,病毒则会将自己休眠5秒,然后进行报复,将用户硬盘中的所有文件都进行删除,使用户资料丢失。
六、删除所病毒软件
?病毒会对十几家知名杀毒软件进行攻击,如果病毒运行时发现有它认识的杀毒软件的主程序,则将之杀掉。
七、局域网与邮件传播
?病毒在有网络连接的前提下,会在局域网中快速传播自身,并通过邮件系统,建立主题与内容随机的病毒邮件,在互联网中大量传播自身。
八、修改多处系统配置文件
?病毒还会修改多处系统文件如:MSDOS.SYS, WIN.INI等,而且在病毒体发现病毒有生成脚本文件的代码,但在动态分析过程中未能再现此动作。
解决方案
1、瑞星杀毒软件 15.08.02 之后的版本可以彻底拦截此病毒。
2、使用瑞星公司免费提供的"别惹我"病毒专杀工具进行查杀,下载地址http://it.rising.com.cn/service/technology/RS_Roron.htm
