瑞星截获恶性病毒“别惹我”传染破坏力极强

smallrascal 2003-08-22 02:17:53
8月21日,瑞星全球反病毒监测网率先截获一个恶性蠕虫病毒,并命名为“别惹我”(Worm.Roron.55.f),该病毒具有非常多的病毒特性,用了几乎所有的传播方法,几乎不可能进行手工清除。据瑞星安全专家分析,该病毒极为聪明、破坏力也非常强,是近年来罕见的恶意蠕虫病毒,请广大用户积极防范。

劣迹一:据瑞星反病毒专家分析,该病毒会通过写注册表、写分区自启动文件、写系统启动文件三种方面来达到病毒随系统启动的目的,只要硬盘上存在有病毒的文件,用户无需直接运行该病毒,就能自动将病毒执行起来。

劣迹二:该病毒会接管EXE的文件关联,当系统运行任何程序时都会先将病毒执行起来,而该病毒还有干掉国外十几家知名杀毒软件的特性,因此安装了这些杀毒软件的用户只要启动计算机,这些杀毒软件就会被自动干掉。

劣迹三:该病毒还具有很强的网络传播特性。病毒运行时会将自己拷贝到局域网的所有计算机的共享目录之中,然后采用双后缀的技术将自己伪装成多种类型媒体文件和快捷方式的形式,如果用户误因为是媒体文件或快捷方式而点击的话,病毒就会立刻被激活,从而导致整个局域网带毒。

劣迹四:该病毒还会利用邮件漏洞向外发送大量的,用户只预览就能运行病毒的带毒邮件,而且该病毒在发送邮件时还会隐藏一些常用发信工具的发信窗口,从而使用户毫无觉察。

瑞星公司已于8月21日晚些时候进行紧急升级,同时提供了免费的专杀工具,瑞星杀毒软件15.49.11版本可彻底清除该病毒,请用户及时升级。其他非瑞星用户请到瑞星网站可下载专杀工具。

如遇到异常情况,请用户赶紧升级手中的瑞星杀毒软件2003版或使用瑞星在线杀毒:online.rising.com.cn/在第一时间内清除该病毒,如果用户不方便出门,还可以从瑞星网站直接下载“瑞星杀毒软件2003下载版”查杀该病毒,也可以随时拨打瑞星反病毒急救电话:010-82678800进行咨询,瑞星反病毒专家将为您提供全方位的技术支持与服务!
...全文
73 8 打赏 收藏 转发到动态 举报
写回复
用AI写文章
8 条回复
切换为时间正序
请发表友善的回复…
发表回复
smallrascal 2003-08-23
  • 打赏
  • 举报
回复
下载还没有
yinshulin 2003-08-23
  • 打赏
  • 举报
回复
请问一下专杀工具的下载地址是多少呀
lndx518 2003-08-23
  • 打赏
  • 举报
回复
神哪

救救我把
smallrascal 2003-08-23
  • 打赏
  • 举报
回复
病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络
感染对象:网络
病毒大小:118,784字节
警惕程度:★★★★

一款恶意报复型蠕虫病毒Roron(Worm.Roron),样本已于11月7日上午被瑞星公司全球病毒监测网率先拦截,并于当日进行紧急升级,用户只要升级瑞星便可完全清除此病毒。

据计,此病毒已在国外初露端倪,国内目前还未有被病毒攻击的迹象,此病毒目前已经发现有6个变种,并且已经全部被瑞星公司截获,瑞星公司正在紧张处理中,随后会在第一时间升级,使用户不再遭受病毒袭击。

此病毒由高级语言编写,本身没有加密、压缩。

此病毒有以下特性:

一、拷贝自身,完成感染
病毒运行后会首先将自身复制到多份到操作系统的目录和操作系统下的SYSTEM目录,名字一般是随机的,但有两个病毒主程序的名字是固定的:一个是病毒的主程序体:RUNDLL16.EXE,存在于系统目录下,它主要用于病毒的正常运行;一个是病毒的配置文件:WINFILE.DLL,存在于系统的SYSTEM目录下,它主要用于病毒保存一些病毒生成的文件信息。

二、修改注册表,进行自启动
病毒会将病毒主程序体的路径加入注册表的自启动项,每次开机都引导病毒。病毒会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加键值:LoadCurrentProfile,内容为:Rundll16.exe, powprof.dll,LoadCurrentUserProfile.

三、首次运行,欺骗用户
如果病毒是被用户双击而且是首次运行,病毒会弹出一个WINZIP的错误框,告诉用户:“你的WINZIP自解压版本未被许可,或者许可信息丢失或不正确,请联系程序作者或登陆www.winzip.com网站获得更多信息”,用户一般的反映是此文件已经损坏而将之删除,其实病毒已经运行。

四、修改EXE文件关联,运行任何程序等于运行病毒
病毒会将注册表中的与.EXE文件类型的关联指向病毒体,这样,用户运行任何程序都等于运行了病毒,而且为了不引起用户的怀疑,病毒在运行后会将用户要执行的程序继续运行。

五、启动多线程,监控注册表与自身
病毒运行时会启动多个线程。其中一个线程负责监视注册表的操作,另一个线程负责监控自身的文件。如果病毒发现注册表中被病毒写入的两个键值被修改,或者病毒文件被用户尝试删除,病毒则会将自己休眠5秒,然后进行报复,将用户硬盘中的所有文件都进行删除,使用户资料丢失。

六、删除所病毒软件
病毒会对十几家知名杀毒软件进行攻击,如果病毒运行时发现有它认识的杀毒软件的主程序,则将之杀掉。

七、局域网与邮件传播
病毒在有网络连接的前提下,会在局域网中快速传播自身,并通过邮件系统,建立主题与内容随机的病毒邮件,在互联网中大量传播自身。

八、修改多处系统配置文件
病毒还会修改多处系统文件如:MSDOS.SYS, WIN.INI等,而且在病毒体发现病毒有生成脚本文件的代码,但在动态分析过程中未能再现此动作。
smallrascal 2003-08-23
  • 打赏
  • 举报
回复
病毒分类 WINDOWS下的PE病毒 病毒名称 Worm.Roron.55.f  
别 名   病毒长度
依赖系统 传播途径  
行为类型 WINDOWS下的木马程序 感 染  
病毒发作 瑞 星 版 本 号
  15.49.11

一、

病毒首先释放三个拷贝到系统:DX89AM32.EXE、DESK.EXE、COMMON.EXE;
释放FAITH.INI;
还会释放几个sys和def文件,名称随机。是病毒的配置文件。

二、

病毒通过三中方式自启动。
1.写入注册表项HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LoadSystem和CommonAgent;
2.如果根目录有文件Autorun.inf ,将自己写入;
3.修改win.ini的run项。

三、

1.
病毒破坏注册表项设置:exefile\shell\open\command,接管exe文件关联。当用户运行程序时,病毒首先被启动。
如果程序名称中包含下列字符串,病毒则拒绝执行那个程序,这样很多杀毒软件失效了:
virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、
antivir、f-secure、f-prot、fprot、kaspersky 、panda

2.病毒遍历进程,发现进程名称有上述字符串,则杀死那个进程。

3.病毒遍历窗口,发现标题包含字符串 :
black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap
avpalarm、f-prot、secure、labs、antivir,
就向那个窗口发送WM_CLOSE消息,使之关闭。

四、
病毒频繁的搜索标题为“Outlook Express”、“Choose Profile”和“Internet Mail”的窗口,
发现后隐藏。这样,病毒在使用系统MAPI发送病毒邮件时,系统不会提示用户,病毒就不会被用户察觉。


五、本地文件传播

遍历硬盘目录,释放病毒拷贝,名称随机。
可能的后缀名:.pif、.scr、.pif、.scr、.asf、.mpg、.asf、.avi、.mpg
可能的文件名称,请参考后面。

六、局域网传播
没有局域网可写目录,将自己拷贝过去。
七、邮件传播
病毒查询本地邮件服务器设置,发送携带病毒的邮件。这个邮件利用漏洞自动运行。
邮件正文包含下列信息:
Yahoo! Greetings is a free service. If you'd like to send someone a
Yahoo! Greeting, you can do so at http://greetings.yahoo.com
%s sent you a Yahoo! Greeting_
support@games.yahoo.com
Yahoo!Tennis.scr
Yahoo! Team is proud to present our new surprise
for the clients of Yahoo! and Yahoo! Mail.
We plan to send you the best Yahoo! Games weekly.
This new service is free and it's a gift for the 10th
anniversary of Yahoo!. We hope you would like it.
The whole Yahoo! Team wants to express our gratitude to
you, the people who helped us to improve Yahoo! so much,
that it became the most popular worldwide portal.
Thank You!
We do our best to serve you.
八、病毒创建注册表exe文件关联项和系统目录的监控线程。
这样用户手工更改设置,或删除系统中的病毒文件,都是无效的,因为病毒会自动恢复。
九、如果有mIRC通信软件,病毒会释放自己的ini文件,利用这些软件传播自己。
mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini、



[参考]
病毒可能采用的文件名称:
KaZaA Media Desktop v2.13_
Serials2K 7.1 (FULL Updated)_
Serials2003_8.0(14.02.03)_
Dreamweaver_MX_Update_
ACDSee
WinAmp_3.1_Cool_
Download Accelerator 5.5_
Nero Burning Rom 5.7.7.3_cReditCarDs_gEn
Mail HACK
WinXP Crack Password
DiViDiX Coder 5.0 Beta_
Eminem BioData
DMX Desktop
NFS HP Bonus Cars_
Counter Strike 1.5 (Hack)_
WinZip Password Crack
WinZip 8.1(FULL)_
DivX 5.5 Full_

7.1 FULL
v5.5
(zip)
3.0
(Eng)
(Cracked)
Nice Girl*
15 years old blonde*
Shakira Boobs_
Pamela3D_
17year old teen babysitter*
KamaSutra*
Teen raped in bathroom*
Teen_Sex_Cam
Sarah fingers pussy on webcam*
Silvia Saint Theme_
Russian_Teen*
mariana hot virgin*
German Rape*
Skinny Lolita French Teen*
BlondeShow*
(sHow)
3D
3.0
(Eng)
v4.5
(Rated)
ClubExtreme_
Story015_
Gipsy
Elfbowl
snowball_fight_
mTVCharts_
3.3
(zip)
(sHow)
3D
(Eng)
_v1.1
BoxDave_
Pamela*
KamaSutra
Fishfood
Story017_
16Yr_Old_Teen*
mTV_Charts_
(sHow)
3D
(Eng)
2.3
dreamy
candy_f
bryan16
jerry
baby_17
neo
trish1
linda17
monica
nicole
angel_f
mellany
iguana17
blade
badgirl
wizzard
blue16
tweety
alice
jane17
badboy
rap_girl
CrazyGirl
happy
amanda
crazy
mickey
lady_f
alex15
sunny
dave
panda_f

hotmail.com
yahoo.com
mail.com
yahoo.co.uk
usa.net
europe.com
aol.com
sunraymorning 2003-08-22
  • 打赏
  • 举报
回复
厉害!
xfong 2003-08-22
  • 打赏
  • 举报
回复
有没有相关的进程啊,注册表里的run里面又什么项啊,可以说具体点吗?
xfong 2003-08-22
  • 打赏
  • 举报
回复
thank
瑞星对Loader_CppIDE.exe报错,NOD32对CppIDE.exe报错,金山毒霸2011,360杀毒,卡巴均能通过。 更新说明: 1.去除原英文版中附带的病毒。 2.集合了破解补丁Loader_CppIDE.exe和汉化补丁,重新打包。 3.补充上一版本未汉化的地方,修正汉化不合理的地方。 4.设置Loader_CppIDE.exe为主程序,默认以Loader_CppIDE.exe运行。 5.默认简体中文。 6.C-Free 5 的帮助和库函数参考由英文改为中文。 7.在桌面自动创建Loader_CppIDE.exe的快捷方式。 8.修改了其他的一些细节,自行体会。 C-Free是一款支持多种编译器的专业化C/C++集成开发环境(IDE)。利用本软件,使用者可以轻松地编辑、编译、连接、运行、调试C/C++程序。C-Free 4 较之前的版本有巨大改进,主要有以下特性:(主窗口) 1. 支持多编译器,可以配置添加其他编译器;(0) 目前支持的编译器类型: (1) MinGW 2.95/3.x/4.x/5.0 (2) Cygwin (3) Borland C++ Compiler (4) Microsoft C++ Compiler (5) Open Watcom C/C++ (6) Digital Mars C/C++ (7) Ch Interpreter 2. 增强的C/C++语法加亮器,(可加亮函数名,类型名,常量名等);(1) 3. 增强的智能输入功能;(2) 3. 可添加语言加亮器,支持其他编程语言; 4. 可添加工程类型,可定制其他的工程向导;(3) 5. 完善的代码定位功能(查找声明、实现和引用);(4) 7. 代码完成功能和函数参数提示功能;(5)(6) 8. 能够列出代码文件中包含的所有符号(函数、类/结构、变量等);(7) 9. 大量可定制的功能 可定制快捷键 可定制外部工具 可定制帮助(可支持Windows帮助、Html帮助和在线帮助); 10. 彩色、带语法加亮打印功能; 11. 在调试时显示控制台窗口;(8) 12. 工程转化功能,可将其他类型的工程转化为C-Free格式的工程,并在C-Free中打开。 CJY 2010年5月7日

9,505

社区成员

发帖
与我相关
我的任务
社区描述
Windows专区 安全技术/病毒
社区管理员
  • 安全技术/病毒社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧