Worm.Zorin.a病毒是什麼

 　　Net-Worm.Win32.Zorin.a 這個一個會感染可執行文件的蠕蟲病毒。該病毒會終止金山毒霸、金山網镖、天網防火牆等安全軟件，大大降低了用戶機器的安全性能;病毒會釋放一個DLL文件的蠕蟲病毒，並將該DLL文件注入到EXPLORER.EXE進程中;病毒修改“hosts”文件，是得用戶訪問許多常用網址時重定向到指定的網址，可能使用戶中新的病毒。

　　摘要

　　病毒別名：Net-Worm.Win32.Zorin.a[AVP]

　　威脅級別：★★

　　中文名稱：

　　病毒類型：蠕蟲

　　影響系統：Win9x / WinNT

　　病毒行為:

　　病毒將自身復制到可寫的網絡磁盤中，並通過猜測密碼感染局域網中更多的計算機;病毒還會感染本地計算機所有磁盤中的EXE文件，除了某些常見目錄中的文件，如system、system32、windows、Documents and Settings、System Volume Information等等。

　　病毒侵染過程

　　注冊表的修改

　　在當前目錄釋放DLL文件virDLL.dll(Worm.Logo.d)，並將它遠程注入到EXPLORER.EXE進程中。

　　添加注冊表鍵值：

　　HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW

　　"auto"="1"

　　查找窗口名和窗口類為：

　　RavMon.exe

　　RavMonClass

　　天網防火牆個人版

　　Tapplication

　　天網防火牆企業版

　　TForm1

　　噬菌體

　　TfLockDownMain

　　的窗口並關閉它們。

　　終止進程

　　EGHOST.EXE

　　MAILMON.EXE

　　KAVPFW.EXE

　　KWatchUI.EXE

　　IPARMOR.EXE

　　卸載密碼防盜專家 綜合版。

　　修改內容

　　修改%System32driversetchosts文件將許多常用網址重定向到某個指定網址，病毒修在hosts文件尾部增加以下內容：

　　66.197.186.149 www.hinet.net

　　66.197.186.149 www.pchome.com.tw

　　66.197.186.149 www.msn.com.tw

　　66.197.186.149 www.yam.com

　　66.197.186.149 www.google.com.tw

　　66.197.186.149 www.gamer.com.tw

　　66.197.186.149 www.taiwankiss.com

　　66.197.186.149 www.sina.com.tw

　　66.197.186.149 www.so-net.net.tw

　　66.197.186.149 www.uhome.net

　　66.197.186.149 www.gamania.com

　　66.197.186.149 www.104.com.tw

　　66.197.186.149 www.tp.edu.tw

　　66.197.186.149 www.seed.net.tw

　　66.197.186.149 www.tw18.com

　　66.197.186.149 www.gamebase.com.tw

　　66.197.186.149 www.hello.com.tw

　　66.197.186.149 www.taiwandns.com

　　66.197.186.149 www.ithome.com.tw

　　66.197.186.149 www.cartoonnetwork.com.tw

　　66.197.186.149 bubble.com.tw

　　66.197.186.149 tw.ebay.com

　　66.197.186.149 www.microsoft.com

　　66.197.186.149 www.oc-gamer.com

　　66.197.186.149 www.igame.com.tw

　　66.197.186.149 www.funtown.com.tw

　　66.197.186.149 www.softstar.com.tw

　　66.197.186.149 service.gamania.com

　　66.197.186.149 www.gamezone.idv.tw

　　66.197.186.149 www.ggame.com.tw

　　66.197.186.149 www.gamestation.com.tw

　　66.197.186.149 www.lineage2.com.tw

　　66.197.186.149 tw.games.yahoo.com

　　66.197.186.149 www.iogc.com.tw

　　66.197.186.149 www.transakt.com.tw

　　66.197.186.149 www.softking.com.tw

　　66.197.186.149 groups.msn.com

　　66.197.186.149 www.mofa.com.tw

　　66.197.186.149 dir.pchome.com.tw

　　66.197.186.149 www.sa.game.tw

　　66.197.186.149 www.books.com.tw

　　66.197.186.149 www.gamemaster.com

　　66.197.186.149 www.newspace.com.tw

　　66.197.186.149 www.e-box.net.tw

　　66.197.186.149 gnn.gamer.com.tw

　　66.197.186.149 pc.gamebase.com.tw

　　66.197.186.149 twbbs.net.tw

　　66.197.186.149 www.twindex.com.tw

　　66.197.186.149 www.t2t.com.tw

　　66.197.186.149 www.girl-tw.com

　　66.197.186.149 www.sogi.com.tw

　　66.197.186.149 hdvd.com.tw

　　66.197.186.149 cgi.tw.ebay.com

　　66.197.186.149 movie.kingnet.com.tw

　　66.197.186.149 www.atmovies.com.tw

　　66.197.186.149 www.movie.com.tw

　　66.197.186.149 www.kokoro.com.tw

　　66.197.186.149 www.twgirls.net

　　66.197.186.149 bbs.vips.com.tw

　　66.197.186.149 www.symantec.com

　　66.197.186.149 www.symantec.com.tw

　　66.197.186.149 liveupdate.symantecliveupdate.com

　　將自身復制到可寫的網絡磁盤中，以感染更多機器;通過猜測密碼感染局域網中計算機的ipc$、admin$。

　　感染本地計算機所有磁盤中的EXE文件，除了名字為以下字符串的目錄中的文件：

　　system

　　system32

　　windows

　　Documents and Settings

　　System Volume Information

　　Recycled

　　winnt

　　Windows NT

　　WindowsUpdate

　　Windows Media Player

　　Outlook Express

　　Internet Explorer

　　ComPlus Applications

　　NetMeeting

　　Common Files

　　Messenger

　　Microsoft Office

　　InstallShield Installation Information

　　MSN

　　Microsoft Frontpage

　　Movie Maker

　　MSN Gaming Zone

　　病毒將自身寫入被感染文件的頭部。

　　清除方法

　　2.添加注冊表鍵值：

　　HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW

　　"auto"="0"

　　使用最新病毒庫的殺毒軟件進行查殺