罗姆病毒是什么

  中文名称:罗姆

  病毒类型:木马

  威胁级别:★★

  影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

  病毒行为:

  该病毒会导致大量安全软件运行失败;会下载大量盗号木马到用户计算机来盗取用户帐号信息。



  攻击动作

  1、释放以下病毒文件:

  系统分区:Program FilesInternet Explorerromdrivers.dll

  系统分区:Program FilesInternet Explorerromdrivers.bak

  系统分区:Program FilesInternet Explorerromdrivers.bkk

  2、创建以下注册表项来使病毒文件随系统启动来启动(其CLSID不定):

  HKCRCLSID{0CD68AC9-FF63-3E61-626B-B663E62F6236}

  HKCRCLSID{0CD68AC9-FF63-3E61-626B-B663E62F6236}InProcServer32(Default) "C:Program FilesInternet Explorerromdrivers.dll"

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{0CD68AC9-FF63-3E61-626B-B663E62F6236} ""

  3、尝试删除以下注册表项来防止其它病毒的干扰:

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DE35052A-9E37-4827-A1EC-79BF400D27A4}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-11d0-97EE-00C04FD91972}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DD7D4640-4464-48C0-82FD-21338366D2D2}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{131AB311-16F1-F13B-1E43-11A24B51AFD1}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{274B93C2-A6DF-485F-8576-AB0653134A76}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{0CB68AD9-FF66-3E63-636B-B693E62F6236}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{09B68AD9-FF66-3E63-636B-B693E62F6236}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{754FB7D8-B8FE-4810-B363-A788CD060F1F}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{06A68AD9-FF56-6E73-937B-B893E72F6226}

  5HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-11d0-97EE-00C04FD91972}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{99F1D023-7CEB-4586-80F7-BB1A98DB7602}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}

  HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{42A612A4-4334-4424-4234-42261A31A236}

  4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。

  SOFTWARErisingRav

  SOFTWAREKingsoftAntiVirus

  SOFTWAREJiangMin

  SOFTWAREKasperskyLabInstalledProductsKaspersky Anti-Virus Personal

  SOFTWAREKasperskyLabSetupFolders

  SOFTWARENetwork AssociatesTVDShared ComponentsFramework

  SOFTWAREEsetNodCurrentVersionInfo

  SOFTWARESymantecSharedUsage

  SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exe

  5、将NOD32的库文件nod32.000改名为nod32.000.bak,从而使NOD32无法查杀病毒。

  6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

  7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息,以便病毒升级,如下:其中"Me"记录病毒本体的版本,数字表示下载的病毒的序号,其值记录相应病毒的版本信息。

  HKEY_CURRENT_USERSoftwareSetVerver Me "1.32"

  HKEY_CURRENT_USERSoftwareSetVerver 1 "2.96"

  HKEY_CURRENT_USERSoftwareSetVerver 2 "2.98"

  HKEY_CURRENT_USERSoftwareSetVerver 3 "2.992"

  HKEY_CURRENT_USERSoftwareSetVerver 4 "2.93"

  HKEY_CURRENT_USERSoftwareSetVerver 5 "2.93"

  HKEY_CURRENT_USERSoftwareSetVerver 6 "2.96"

  HKEY_CURRENT_USERSoftwareSetVerver 7 "2.96"

  HKEY_CURRENT_USERSoftwareSetVerver 8 "2.93"

  HKEY_CURRENT_USERSoftwareSetVerver 9 "2.99"

  HKEY_CURRENT_USERSoftwareSetVerver 10 "1.98"

  HKEY_CURRENT_USERSoftwareSetVerver 11 "1.991"

  HKEY_CURRENT_USERSoftwareSetVerver 12 "1.891"

  HKEY_CURRENT_USERSoftwareSetVerver 13 "1.91"

  HKEY_CURRENT_USERSoftwareSetVerver 14 "1.0"

  8、创建消息钩子,将病毒文件romdrivers.dll注入到explorer进程中,然后通过explorer来连接网络进行病毒自更新,下载大量盗号木马到用户计算机来盗取用户相关帐号。

  9、进行ARP欺骗,造成局域网网络阻塞并导致无法上网。

  10、删除hosts文件来取消用户对某些网站的屏蔽。

  11、下载的木马运行后会释放以下文件到Temp目录:

  fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe

  fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

  12、下载的木马运行后创建以下注册表项:把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名,如:

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun fysa "C:DOCUME~1ADMINI~1LOCALS~1Tempfyso.exe"

  HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun wosa "C:DOCUME~1ADMINI~1LOCALS~1Tempwoso.exe"

(0)

相关推荐

  • 密码如何设置安全

    一项研究表明,1%的密码可以在4次之内猜中。 怎么可能?简单!尝试四个最常见密码。password,123456,12345678,和qwerty,这就打开了1%的大门。 好吧,你是那99%的人之一, ...

  • 魔兽世界8.0灰烬骑士团大使军需官在哪里

    魔兽世界8.0灰烬骑士团大使军需官在哪里,灰烬骑士团是我们世界任务一个主要的军需官,而我们完成世界任务交任务也需要找到他,那么我们的灰烬骑士团大使在哪里呢?小白就告诉大家 魔兽世界8.0灰烬骑士团大使 ...

  • 宠物王国5主线图文攻略

    宠物王国5主线图文攻略?感兴趣的小伙伴一起看看吧 操作方法 01 1.前往彩虹广场前往彩虹城中心的彩虹广场看看彭彭说的布告. 02 2.购物中心去彩虹广场北侧的购物中学买一些必备物品. 03 3.捕捉 ...

  • 《最终幻想4》流程攻略

    <最终幻想IV>的故事破天荒的在地上.地下和月亮世界三个舞台上展开.主要讲述了赤翼队长塞西尔对巴隆过以力量压迫奴役他国的做法非常不满,因而将自己的想法转达给国王.不曾想却遭到追杀.于是塞西 ...

  • 上古卷轴5揭开未知之谜任务

    完成 善良本意任务之后,开始本任务,任务需要找到马格努斯之仗. 操作方法 01 第一步找到米拉贝勒对话,提到了树皮遗址废墟.来到目的地,开始探索. 02 进入遗址发现了希诺搜索队,这货说完一句话就挂了 ...

  • 口袋妖怪 冰の冒险完全图文攻略

    口袋妖怪,由日本Game Freak代表田尻智于1995年开发,日本任天堂株式会社于1996年推出的一款Game Boy游戏.其独特的游戏系统广受大众的欢迎,年度产品销量过千万.任天堂趁此热潮,推出后 ...

  • 最终幻想4 BOSS攻略 最终幻想4流程攻略解说

    操作方法 01 最终幻想4这款游戏已经推出新版本了,游戏已经为中文了,但是难度还是不减,无限金币攻略小编也在之前奉上,即使有无限金币和中文,打怪的技巧攻略仍然是不可小觑,今天小编就和大家分享一下最终幻 ...

  • 《上古卷轴5》魔法学院系列任务完整攻略(三)

    游戏名称:上古卷轴5:天际 英文名称:The Elder Scrolls V:Skyrim 游戏类型:角色扮演 游戏发行:Bethesda 游戏制作:Bethesda 游戏平台:PC 上市时间:201 ...

  • 《伊苏菲尔加纳的誓约》故事介绍

    本作是2005年在PC上发售的同名移植作品,要追根溯源的话始祖是在1989年就已经发售的<WANDERERS FROM Ys>,以此为蓝本,系统经过大幅强化之后再PSP上再次登录. 步骤/ ...