病毒标签
病毒名称: Net-Worm.Win32.Zorin.a
病毒类型: 网络蠕虫
危害等级: 中
文件长度: 67,072 字节
感染系统: windows98 及以上版本
开发工具: Borland Delphi 6.0 - 7.0
病毒描述
该病毒图标类似于 flashget 的浮动图标。病毒运行后,会感染受感染计算机中扩展名为 .exe 的文件,但有些特殊路径下的 .exe 文件并不会被感染。并且通过开放的网络资源进行传播。病毒运行后会复制自身到系统目录下,同时释放病毒相关文件,还会复制到某些网络资源下。病毒还会修改注册表文件。 终止某些反病毒软件的进程。病毒还会修改 %System%driversetchosts 文件。该病毒对用于危害较大。
行为分析
1 、病毒感染后,释放病毒体及相关文件:
%WinDir%Logo1_.exe
%WinDir%virDll.dll
2 、修改注册表文件:
HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW 值: "auto" = "1"
3 、病毒还会通过本地网络传播,将自身复制到如下的网络资源中:
ADMIN$
IPC$
4 、结果如下反病毒软件及安全软件的进程:
EGHOST.EXE
IPARMOR.EXE
KAVPFW.EXE
KWatchUI.EXE
MAILMON.EXE
Ravmon.exe
ZoneAlarm
5 、当病毒查找文件时遇到以下字符串,就会跳过,不去感染其中的 .exe 文件。
Recycled
system
System Volume Information
system32
windows
Windows Media Player
Windows NT
WindowsUpdate
Winnt
Internet Explorer
Messenger
Microsoft Frontpage
Microsoft Office
Movie Maker
… …
6 、修改 %System%driversetchosts 文件,导致用户无法访问以下网站,并重定向到地址: 66.197.186.149
www.symantec.com.tw www.sa.game.tw
www.t2t.com.tw www.taiwandns.com
www.taiwankiss.com www.tp.edu.tw
www.transakt.com.tw www.tw18.com
www.twgirls.net www.twindex.com.tw
www.uhome.net www.yam.com
www.mofa.com.tw www.movie.com.tw
www.msn.com.tw www.newspace.com.tw
www.oc-gamer.com Www.pchome.com.tw
--------------------------------------------------------------------------------
清除方案
1、使用安天木马防线可彻底清除此病毒(推荐)。
2、手工清除请按照行为分析删除对应文件,恢复相关系统设置。
版权与免责声明
1、本站所发布的文章仅供技术交流参考,本站不主张将其做为决策的依据,浏览者可自愿选择采信与否,本站不对因采信这些信息所产生的任何问题负责。
2、本站部分文章来源于网络,其版权为原权利人所有。由于来源之故,有的文章未能获得作者姓名,署“未知”或“佚名”。对于这些文章,有知悉作者姓名的请告知本站,以便及时署名。如果作者要求删除,我们将予以删除。除此之外本站不再承担其它责任。
3、本站部分文章来源于本站原创,本站拥有所有权利。
4、如对本站发布的信息有异议,请联系我们,经本站确认后,将在三个工作日内做出修改或删除处理。
请参阅权责声明!