病毒标签

　　病毒名称： Net-Worm.Win32.Zorin.a

　　病毒类型： 网络蠕虫

　　危害等级： 中

　　文件长度： 67,072 字节

　　感染系统： windows98 及以上版本

　　开发工具： Borland Delphi 6.0 - 7.0

　　病毒描述

　　该病毒图标类似于 flashget 的浮动图标。病毒运行后，会感染受感染计算机中扩展名为 .exe 的文件，但有些特殊路径下的 .exe 文件并不会被感染。并且通过开放的网络资源进行传播。病毒运行后会复制自身到系统目录下，同时释放病毒相关文件，还会复制到某些网络资源下。病毒还会修改注册表文件。 终止某些反病毒软件的进程。病毒还会修改 %System%driversetchosts 文件。该病毒对用于危害较大。

　　行为分析

　　1 、病毒感染后，释放病毒体及相关文件：

　　%WinDir%Logo1_.exe

　　%WinDir%virDll.dll

　　2 、修改注册表文件：

　　HKEY_LOCAL_MACHINESoftwareSoftDownloadWWW 值： "auto" = "1"

　　3 、病毒还会通过本地网络传播，将自身复制到如下的网络资源中：

　　ADMIN$

　　IPC$

　　4 、结果如下反病毒软件及安全软件的进程：

　　EGHOST.EXE

　　IPARMOR.EXE

　　KAVPFW.EXE

　　KWatchUI.EXE

　　MAILMON.EXE

　　Ravmon.exe

　　ZoneAlarm

　　5 、当病毒查找文件时遇到以下字符串，就会跳过，不去感染其中的 .exe 文件。

　　Recycled

　　system

　　System Volume Information

　　system32

　　windows

　　Windows Media Player

　　Windows NT

　　WindowsUpdate

　　Winnt

　　Internet Explorer

　　Messenger

　　Microsoft Frontpage

　　Microsoft Office

　　Movie Maker

　　… …

　　6 、修改 %System%driversetchosts 文件，导致用户无法访问以下网站，并重定向到地址： 66.197.186.149

　　www.symantec.com.tw www.sa.game.tw

　　www.t2t.com.tw 　　　www.taiwandns.com

　　www.taiwankiss.com 　www.tp.edu.tw

　　www.transakt.com.tw 　www.tw18.com

　　www.twgirls.net 　　　www.twindex.com.tw

　　www.uhome.net 　　　www.yam.com

　　www.mofa.com.tw 　 　www.movie.com.tw

　　www.msn.com.tw 　　 www.newspace.com.tw

　　www.oc-gamer.com 　　Www.pchome.com.tw

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。