“罗姆”病毒干掉杀毒软件发起ARP***
2007-12-01 08:49
501 查看
病毒名:Win32.Troj.Romdrivers.ka
中文名:罗姆
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
该病毒会导致大量安全软件运行失败(即便是将病毒解决掉以后,还是会发现杀毒软件不能运行);会下载大量盗号***到用户计算机来盗取用户帐号信息。
该病毒严重影响局域网,发送大量ARP欺骗数据包,造成企业网络中断。
以下是关于这个病毒的详细分析,清除病毒后,需要手工删除“ws2_32.dll”文件夹,以修复杀毒软件的正常功能。毒霸的修复工具稍后提供。
1、释放以下病毒文件:
系统分区:\Program Files\Internet Explorer\romdrivers.dll
系统分区:\Program Files\Internet Explorer\romdrivers.bak
系统分区:\Program Files\Internet Explorer\romdrivers.bkk
2、创建以下注册表项来使病毒文件随系统启动来启动(其CLSID不定):
3、尝试删除以下注册表项来防止其它病毒的干扰:
4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。
5、将NOD32的库文件nod32.000改名为nod32.000.bak,从而使NOD32无法查杀病毒。
6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。
7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息,以便病毒升级,如下:其中"Me"记录病毒本体的版本,数字表示下载的病毒的序号,其值记录相应病毒的版本信息。
8、创建消息钩子
将病毒文件romdrivers.dll注入到explorer进程中,然后通过explorer来连接网络进行病毒自更新,下载大量盗号***到用户计算机来盗取用户相关帐号。
9、进行ARP欺骗,造成局域网网络阻塞并导致无法上网。
10、删除hosts文件来取消用户对某些网站的屏蔽。
11、下载的***运行后会释放以下文件到Temp目录:
fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe
fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等。
12、下载的***运行后创建以下注册表项:把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名,如:
中文名:罗姆
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
该病毒会导致大量安全软件运行失败(即便是将病毒解决掉以后,还是会发现杀毒软件不能运行);会下载大量盗号***到用户计算机来盗取用户帐号信息。
该病毒严重影响局域网,发送大量ARP欺骗数据包,造成企业网络中断。
以下是关于这个病毒的详细分析,清除病毒后,需要手工删除“ws2_32.dll”文件夹,以修复杀毒软件的正常功能。毒霸的修复工具稍后提供。
1、释放以下病毒文件:
系统分区:\Program Files\Internet Explorer\romdrivers.dll
系统分区:\Program Files\Internet Explorer\romdrivers.bak
系统分区:\Program Files\Internet Explorer\romdrivers.bkk
2、创建以下注册表项来使病毒文件随系统启动来启动(其CLSID不定):
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236} HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}\InProcServer32\(Default) "C:\Program Files\Internet Explorer\romdrivers.dll" HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CD68AC9-FF63- 3E61-626B-B663E62F6236} "" |
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\ {DE35052A-9E37-4827-A1EC-79BF400D27A4} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19- 11d0-97EE-00C04FD91972} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DD7D4640-4464- 48C0-82FD-21338366D2D2} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3- 4678-B2FE-F2D7381CC1B5} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3- 4678-B2FE-F2D7381CC1B5} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{131AB311-16F1- F13B-1E43-11A24B51AFD1} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{274B93C2-A6DF- 485F-8576-AB0653134A76} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09- 46D0-8C92-B8E71A4304DF} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66- 3E63-636B-B693E62F6236} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66- 3E63-636B-B693E62F6236} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE- 4810-B363-A788CD060F1F} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8- 49AA-9ADA-49127D43138F} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF56- 6E73-937B-B893E72F6226} 5HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{01F6EB6F-AB5C- 1FDD-6E5B-FB6EE3CC6CD6} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06E6B6B6-BE3C- 6E23-6C8E-B833E2CE63B8} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BC0ACA58-6A6F- 51DA-9EFE-9D20F4F621BA} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19- 11d0-97EE-00C04FD91972} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99F1D023-7CEB- 4586-80F7-BB1A98DB7602} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FEB94F5A-69F3- 4645-8C2B-9E71D270AF2E} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{923509F1-45CB- 4EC0-BDE0-1DED35B8FD60} HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{42A612A4-4334- 4424-4234-42261A31A236} |
SOFTWARE\\rising\\Rav SOFTWARE\\Kingsoft\\AntiVirus SOFTWARE\\JiangMin SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal SOFTWARE\\KasperskyLab\\SetupFolders SOFTWARE\Network Associates\TVD\Shared Components\Framework SOFTWARE\Eset\Nod\CurrentVersion\Info SOFTWARE\\Symantec\\SharedUsage SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe |
6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。
7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息,以便病毒升级,如下:其中"Me"记录病毒本体的版本,数字表示下载的病毒的序号,其值记录相应病毒的版本信息。
HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32" HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96" HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98" HKEY_CURRENT_USER\Software\SetVer\ver 3 "2.992" HKEY_CURRENT_USER\Software\SetVer\ver 4 "2.93" HKEY_CURRENT_USER\Software\SetVer\ver 5 "2.93" HKEY_CURRENT_USER\Software\SetVer\ver 6 "2.96" HKEY_CURRENT_USER\Software\SetVer\ver 7 "2.96" HKEY_CURRENT_USER\Software\SetVer\ver 8 "2.93" HKEY_CURRENT_USER\Software\SetVer\ver 9 "2.99" HKEY_CURRENT_USER\Software\SetVer\ver 10 "1.98" HKEY_CURRENT_USER\Software\SetVer\ver 11 "1.991" HKEY_CURRENT_USER\Software\SetVer\ver 12 "1.891" HKEY_CURRENT_USER\Software\SetVer\ver 13 "1.91" HKEY_CURRENT_USER\Software\SetVer\ver 14 "1.0" |
将病毒文件romdrivers.dll注入到explorer进程中,然后通过explorer来连接网络进行病毒自更新,下载大量盗号***到用户计算机来盗取用户相关帐号。
9、进行ARP欺骗,造成局域网网络阻塞并导致无法上网。
10、删除hosts文件来取消用户对某些网站的屏蔽。
11、下载的***运行后会释放以下文件到Temp目录:
fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe
fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等。
12、下载的***运行后创建以下注册表项:把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名,如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run fysa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wosa "C:\DOCUME~1 \ADMINI~1\LOCALS~1\Temp\woso.exe" |
相关文章推荐
- 杀毒软件的查杀病毒的原理以及木马、病毒的免杀伎俩(论杀或者不杀 )
- 用带有杀毒软件的Windows PE查杀病毒
- VC++结束进程,干掉杀毒软件或者其他令人不爽的进程
- VC++结束进程,干掉杀毒软件或者其他令人不爽的进程
- 最新“母马”病毒反杀主流杀毒软件
- “暗号”关闭杀毒软件 下载其它病毒木马
- git 不能拉取时,检查是不是被杀毒软件给干掉了
- 无法安装任何杀毒软件的病毒专杀工具,专杀者必看
- 病毒知识与常见杀毒软件了解
- 对专门破坏杀毒软件的病毒AV终结者的深层次分析
- 杀毒软件莫名报告你的软件有病毒,严重影响正常程序的推广怎么办?
- (病毒安全)任何杀毒软件都不能用了
- 一般杀毒软件检测病毒原理
- 合理设置杀毒软件 巧妙抓出邮件病毒
- 上班时候,老被腾讯弹出来的新闻打扰,很少烦恼,于是编写了一小程序,用于彻底解决这个问题,并代码开源,以防杀毒软件告诉你是病毒
- 没有安装杀毒软件却能查杀病毒
- 测试您的杀毒软件的代码(不是病毒)
- AntiVir个人版本,来自德国的免费杀毒软件.可以查杀超过50000种病毒,在很多的期刊的测评中都名列前茅,支持网络自动更新.AntiVir Personal Edition 7.0 (6.34.00.154)
- 让任何杀毒软件都无法安装和运行的病毒,有谁见过并且知道该怎么办吗?
- 新蠕虫变种病毒大规模爆发 多数杀毒软件失灵