win32.troj

简介中文名称：罗姆

病毒类型：木马

威胁级别：★★

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

该病毒会导致大量安全软件运行失败；会下载大量盗号木马到用户计算机来盗取用户帐号信息。

攻击动作1、释放以下病毒文件：

系统分区:Program FilesInternet Explorer

omdrivers.dll

系统分区:Program FilesInternet Explorer

omdrivers.bak

系统分区:Program FilesInternet Explorer

omdrivers.bkk

2、创建以下注册表项来使病毒文件随系统启动来启动（其CLSID不定）：

HKCRCLSID{0CD68AC9-FF63-3E61-626B-B663E62F6236}

HKCRCLSID{0CD68AC9-FF63-3E61-626B-B663E62F6236}InProcServer32(Default) "C:Program FilesInternet Explorer

omdrivers.dll"

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{0CD68AC9-FF63-3E61-626B-B663E62F6236} ""

3、尝试删除以下注册表项来防止其它病毒的干扰：

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DE35052A-9E37-4827-A1EC-79BF400D27A4}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-11d0-97EE-00C04FD91972}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DD7D4640-4464-48C0-82FD-21338366D2D2}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{131AB311-16F1-F13B-1E43-11A24B51AFD1}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{274B93C2-A6DF-485F-8576-AB0653134A76}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{0CB68AD9-FF66-3E63-636B-B693E62F6236}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{09B68AD9-FF66-3E63-636B-B693E62F6236}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{754FB7D8-B8FE-4810-B363-A788CD060F1F}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{06A68AD9-FF56-6E73-937B-B893E72F6226}

5HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-11d0-97EE-00C04FD91972}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{99F1D023-7CEB-4586-80F7-BB1A98DB7602}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{42A612A4-4334-4424-4234-42261A31A236}

4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使相关安全软件运行失败。

SOFTWARE\rising\Rav

SOFTWARE\Kingsoft\AntiVirus

SOFTWARE\JiangMin

SOFTWAREKasperskyLabInstalledProductsKaspersky Anti-Virus Personal

SOFTWARE\KasperskyLab\SetupFolders

SOFTWARENetwork AssociatesTVDShared ComponentsFramework

SOFTWAREEsetNodCurrentVersionInfo

SOFTWARE\Symantec\SharedUsage

SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exe

5、将NOD32的库文件nod32.000改名为nod32.000.bak，从而使NOD32无法查杀病毒。

6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息，以便病毒升级，如下：其中"Me"记录病毒本体的版本，数字表示下载的病毒的序号，其值记录相应病毒的版本信息。

HKEY_CURRENT_USERSoftwareSetVerver Me "1.32"

HKEY_CURRENT_USERSoftwareSetVerver 1 "2.96"

HKEY_CURRENT_USERSoftwareSetVerver 2 "2.98"

HKEY_CURRENT_USERSoftwareSetVerver 3 "2.992"

HKEY_CURRENT_USERSoftwareSetVerver 4 "2.93"

HKEY_CURRENT_USERSoftwareSetVerver 5 "2.93"

HKEY_CURRENT_USERSoftwareSetVerver 6 "2.96"

HKEY_CURRENT_USERSoftwareSetVerver 7 "2.96"

HKEY_CURRENT_USERSoftwareSetVerver 8 "2.93"

HKEY_CURRENT_USERSoftwareSetVerver 9 "2.99"

HKEY_CURRENT_USERSoftwareSetVerver 10 "1.98"

HKEY_CURRENT_USERSoftwareSetVerver 11 "1.991"

HKEY_CURRENT_USERSoftwareSetVerver 12 "1.891"

HKEY_CURRENT_USERSoftwareSetVerver 13 "1.91"

HKEY_CURRENT_USERSoftwareSetVerver 14 "1.0"

8、创建消息钩子，将病毒文件romdrivers.dll注入到explorer进程中，然后通过explorer来连接网络进行病毒自更新，下载大量盗号木马到用户计算机来盗取用户相关帐号。

9、进行ARP欺骗，造成局域网网络阻塞并导致无法上网。

10、删除hosts文件来取消用户对某些网站的屏蔽。

11、下载的木马运行后会释放以下文件到Temp目录：

fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe

fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

12、下载的木马运行后创建以下注册表项：把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名，如：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun fysa "C:DOCUME~1ADMINI~1LOCALS~1Tempfyso.exe"

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun wosa "C:DOCUME~1ADMINI~1LOCALS~1Tempwoso.exe"

• ·明基E800
• ·窦荣定
• ·BTOB营销战略
• ·鹰潭市人民医院
• ·临床医师实践技能应试指导
• ·江西富达盐化有限公司
• ·南京先锋网络科技有限公司
• ·Pirates Movie Picture B
• ·江西樟树医药实业发展有限公司
• ·中国货币与财政政策效果评析