别惹我（Worm.Roron.55.F）病毒档案

知识库编号： RSV0512290

内容分类： 蠕虫病毒

关键字： 别惹我;Worm.Roron.55.F

适用作业系统：Windows 作业系统

适用作业系统补丁版本：全部补丁适用

别惹我（Worm.Roron.55.F）病毒档案

病毒评估

警惕程度：★★★★★

发作时间：随机

传播途径：网路/邮件

依赖系统: WINDOWS 9X/NT/ 2000/XP

病毒介绍

该病毒会接管EXE的档案关联，当系统运行任何程式时都会先将病毒执行起来，而该病毒还有干掉国外十几家知名防毒软体的特性，因此安装了这些防毒软体的用户只要启动计算机，这些防毒软体就会被自动干掉。

该病毒还具有很强的网路传播特性。病毒运行时会将自己拷贝到区域网路的所有计算机的已分享资料夹之中，然后採用双后缀的技术将自己伪装成多种类型媒体档案和捷径的形式，如果用户误因为是媒体档案或捷径而点击的话，病毒就会立刻被激活，从而导致整个区域网路带毒。

1. 病毒运行时会首先释放三个病毒体到系统：DX89AM32.EXE、DESK.EXE、COMMON.EXE，然后释放FAITH.INI档案，最后病毒还会释放几个sys和def档案，名称随机。是病毒的配置档案。用户可以搜寻计算机，来查找这些档案，找到后，可以将它们直接删除，如果有些档案无法删除，则可以退到DOS下来做删除操作。

2. 病毒通过三种方式自启动：

·写入注册表项HKLM\Software\Microsoft\Windows\CurrentVersion\Run，在其中建立名称为：“LoadSystem”和“CommonAgent”的病毒自启动键值。

· 如果根目录有档案Autorun.inf ，则病毒将自己写入，以便用户查看分区时病毒感染。

· 修改win.ini的run项，在其中加入病毒的自启动路径。

用户可以按照上面说的，用REGEDIT等注册表编辑工具来删除在注册表中产生的病毒键值，如果用户分区中,如C糟存在有Autorun.inf档案，则最好将这个档案删除，如果确实是用户需要的档案，则用户可以用记事本等文本编辑工具来查看Autorun.inf档案，看其中是否有病毒相关的项，如果有，则可以将它们删除；用户还需要查看系统目录下的WIN.INI档案内容，看其中的启动项是否被替换成病毒的路径，如果有，则将这一项删除。

3. 病毒会修改注册表项设定：exefile\shell\open\command，接管exe档案关联。当用户运行程式时，病毒首先被启动，如果程式名称中包含下列字元串，则病毒拒绝执行该程式，这样这些防毒软体就会失效：virus、norton、black、cillin、labs、zone、firewall、sophos、trend micro、mcafee、guard、esafe、lockdown、conseal、antivir、f-secure、f-prot、fprot、kaspersky 、panda，用户要想修改这个关联键值，必须对注册表非常熟悉，否则会出现其它异常情况，用户最好能用一些专业的工具如“超级兔子”来进行修改，或用该病毒的专杀工具来自动将这一键值改回

4. 病毒会遍历记忆体中的所有进程，发现记忆体中有上述名称的进程在活动，则直接杀死该进程，使这些正在运行的防毒软体立刻失效。

5. 病毒会遍历作业系统的所有视窗，发现包含有下列字元串的视窗标题时，病毒就会给这些视窗传送“WM_CLOSE”讯息，将这些视窗关闭，因为这些视窗都是防毒软体的主程式视窗，所以病毒运行后，这些防毒软体的防毒界面将无法再显示，以下就是病毒关闭的视窗名称字元串：black、panda、shield、guard、scan、mcafee、nai_vs_stat、iomon、navap、avpalarm、f-prot、secure、labs、antivir。

6. 病毒会遍历硬碟中的所有目录,包括区域网路中的已分享资料夹与默认共享目录，并释放病毒拷贝，名称随机，档案后缀为以下字元串，病毒产生后缀名为：.pif、.scr、.asf、.mpg，附录中会提供可能的病毒名，

7. 病毒创建注册表exe档案关联项和系统目录的监控执行绪，当用户手工更改注册表相关设定，或删除系统中的病毒档案时，会被病毒自动恢复。

8. 如果用户的计算机中有mIRC即时通信软体，则病毒会释放自己的ini档案，然后利用这些软体来传播自己，以下是病毒建立的INI档案列表：mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini。

9. 病毒会频繁地搜寻标题为“Outlook Express”、“Choose Profile”和“Internet Mail”的视窗，发现后并将其隐藏。这样当病毒使用系统MAPI向外传送病毒邮件时，用户就无法察觉。

10. 病毒会查询本地的邮件伺服器设定，然后利用MAPI传送带毒邮件。这个邮件利用了MIME漏洞，只要用户预览自动运行。邮件正文包含下列信息：

Yahoo! Greetings is a free service. If you'd like to send someone a

Yahoo! Greeting, you can do so at http://greetings.

Yahoo!Tennis.scr

Yahoo! Team is proud to present our new surprise

for the clients of Yahoo! and Yahoo! Mail.

We plan to send you the best Yahoo! Games weekly.

This new service is free and it's a gift for the 10th

anniversary of Yahoo!. We hope you would like it.

The whole Yahoo! Team wants to express our gratitude to

you, the people who helped us to improve Yahoo! so much,

that it became the most popular worldwide portal.

Thank You!

We do our best to serve you.

发现这种内容的邮件时，用户可直接将这些档案删除。

11. 病毒会创建注册表exe档案关联项和系统目录的监控执行绪，只要用户手工更改设定或删除系统中的病毒档案，病毒就会发觉，然后会自动恢复成原来的状态。

12. 如果有mIRC通信软体，病毒会释放自己的ini档案，利用这些软体传播自己。 以下是病毒释放的病毒档案：Mirc.ini、channel.ini、help.ini、remotes.ini、controls.ini、logs.ini、notes.ini、version.ini，如果用户安装了mIRC软体，可以检查一下软体目录中是否存在有这些档案，如果有则可能中了该病毒，需要用防毒软体清除病毒，或重装该软体。

用户如果在自己的计算机中发现以上全部或部分现象，则很有可能中了“别惹我（Worm.Roron.55.F）”病毒。

1、瑞星防毒软体15.49.11之后的版本可以彻底拦截此病毒。

2、使用瑞星公司免费提供的“别惹我”病毒专杀工具查杀，下载地址