病毒类型:蠕虫病毒
发作时间:随机
传播方式:网络
感染对象:网络
病毒大小:118,784字节
警惕程度:★★★★
一款恶意报复型蠕虫病毒Roron(Worm.Roron),样本已于11月7日上午被瑞星公司全球病毒监测网率先拦截,并于当日进行紧急升级,用户只要升级瑞星便可完全清除此病毒。
据计,此病毒已在国外初露端倪,国内目前还未有被病毒攻击的迹象,此病毒目前已经发现有6个变种,并且已经全部被瑞星公司截获,瑞星公司正在紧张处理中,随后会在第一时间升级,使用户不再遭受病毒袭击。
此病毒由高级语言编写,本身没有加密、压缩。
此病毒有以下特性:
一、拷贝自身,完成感染
病毒运行后会首先将自身复制到多份到操作系统的目录和操作系统下的SYSTEM目录,名字一般是随机的,但有两个病毒主程序的名字是固定的:一个是病毒的主程序体:RUNDLL16.EXE,存在于系统目录下,它主要用于病毒的正常运行;一个是病毒的配置文件:WINFILE.DLL,存在于系统的SYSTEM目录下,它主要用于病毒保存一些病毒生成的文件信息。
二、修改注册表,进行自启动
病毒会将病毒主程序体的路径加入注册表的自启动项,每次开机都引导病毒。病毒会在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项中添加键值:LoadCurrentProfile,内容为:Rundll16.exe, powprof.dll,LoadCurrentUserProfile.
三、首次运行,欺骗用户
如果病毒是被用户双击而且是首次运行,病毒会弹出一个WINZIP的错误框,告诉用户:“你的WINZIP自解压版本未被许可,或者许可信息丢失或不正确,请联系程序作者或登陆www.winzip.com网站获得更多信息”,用户一般的反映是此文件已经损坏而将之删除,其实病毒已经运行。
四、修改EXE文件关联,运行任何程序等于运行病毒
病毒会将注册表中的与.EXE文件类型的关联指向病毒体,这样,用户运行任何程序都等于运行了病毒,而且为了不引起用户的怀疑,病毒在运行后会将用户要执行的程序继续运行。
五、启动多线程,监控注册表与自身
病毒运行时会启动多个线程。其中一个线程负责监视注册表的操作,另一个线程负责监控自身的文件。如果病毒发现注册表中被病毒写入的两个键值被修改,或者病毒文件被用户尝试删除,病毒则会将自己休眠5秒,然后进行报复,将用户硬盘中的所有文件都进行删除,使用户资料丢失。
六、删除所病毒软件
病毒会对十几家知名杀毒软件进行攻击,如果病毒运行时发现有它认识的杀毒软件的主程序,则将之杀掉。
七、局域网与邮件传播
病毒在有网络连接的前提下,会在局域网中快速传播自身,并通过邮件系统,建立主题与内容随机的病毒邮件,在互联网中大量传播自身。
八、修改多处系统配置文件
病毒还会修改多处系统文件如:MSDOS.SYS, WIN.INI等,而且在病毒体发现病毒有生成脚本文件的代码,但在动态分析过程中未能再现此动作。
|
