罗姆病毒是什么
中文名称:罗姆
病毒类型:木马
威胁级别:★★
影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒会导致大量安全软件运行失败;会下载大量盗号木马到用户计算机来盗取用户帐号信息。
攻击动作
1、释放以下病毒文件:
系统分区:\Program Files\Internet Explorer\romdrivers.dll
系统分区:\Program Files\Internet Explorer\romdrivers.bak
系统分区:\Program Files\Internet Explorer\romdrivers.bkk
2、创建以下注册表项来使病毒文件随系统启动来启动(其CLSID不定):
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}\InProcServer32\(Default) "C:\Program Files\Internet Explorer\romdrivers.dll"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CD68AC9-FF63-3E61-626B-B663E62F6236} ""
3、尝试删除以下注册表项来防止其它病毒的干扰:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DE35052A-9E37-4827-A1EC-79BF400D27A4}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DD7D4640-4464-48C0-82FD-21338366D2D2}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{131AB311-16F1-F13B-1E43-11A24B51AFD1}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{274B93C2-A6DF-485F-8576-AB0653134A76}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF56-6E73-937B-B893E72F6226}
5HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{42A612A4-4334-4424-4234-42261A31A236}
4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe
5、将NOD32的库文件nod32.000改名为nod32.000.bak,从而使NOD32无法查杀病毒。
6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。
7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息,以便病毒升级,如下:其中"Me"记录病毒本体的版本,数字表示下载的病毒的序号,其值记录相应病毒的版本信息。
HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32"
HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98"
HKEY_CURRENT_USER\Software\SetVer\ver 3 "2.992"
HKEY_CURRENT_USER\Software\SetVer\ver 4 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 5 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 6 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 7 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 8 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 9 "2.99"
HKEY_CURRENT_USER\Software\SetVer\ver 10 "1.98"
HKEY_CURRENT_USER\Software\SetVer\ver 11 "1.991"
HKEY_CURRENT_USER\Software\SetVer\ver 12 "1.891"
HKEY_CURRENT_USER\Software\SetVer\ver 13 "1.91"
HKEY_CURRENT_USER\Software\SetVer\ver 14 "1.0"
8、创建消息钩子,将病毒文件romdrivers.dll注入到explorer进程中,然后通过explorer来连接网络进行病毒自更新,下载大量盗号木马到用户计算机来盗取用户相关帐号。
9、进行ARP欺骗,造成局域网网络阻塞并导致无法上网。
10、删除hosts文件来取消用户对某些网站的屏蔽。
11、下载的木马运行后会释放以下文件到Temp目录:
fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe
fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等
12、下载的木马运行后创建以下注册表项:把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名,如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run fysa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wosa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe"
如何通过迷你飞信查找好友成功登录迷你飞信后,用户可以通过搜索来查找好友。在搜索框内输入您想要查找的好友关键字(可输入首字母拼音姓名或手机号等快速搜索好友),随着关键字输入,在搜索框下方弹出下拉菜单,显示匹
Mac飞信如何安装运行Mac飞信安装程序,打开飞信安装界面。选中飞信图标,将其拖入ldquoApplicationsrdquo文件夹即可完成安装。飞信是中国移动的综合通信服务,即融合语音(IVR)G
如何更改迷你飞信的外观在迷你飞信主界面上,点击更改外观图标,弹出更改外观窗口。选择喜欢的颜色作为外观颜色,拖动透明度滑块调整透明度,即可自定义您的迷你飞信外观。飞信是中国移动的综合通信服务,即融合语音(
Mac飞信如何给好友发送屏幕截图Mac飞信为用户提供截屏发图的功能,可以把截屏以图片的形式发给好友。在聊天窗口的发送区工具栏中,点击ldquo截屏发图rdquo快捷图标,进入截屏状态,按鼠标右键或按Esc取消选择
在迷你飞信中如何修改好友显示姓名通过迷你飞信,用户可以设置好友的显示姓名。在发送消息或收到消息窗口,点击好友姓名后边的修改好友姓名图标,弹出修改好友姓名窗口。在输入框内,输入姓名,点击ldquo修改rdquo按钮
如何下载迷你飞信用户可以在飞信官方网站httpfeixin。10086。cn下载最新的迷你飞信软件,此软件为绿色免安装软件,可直接使用。飞信是中国移动的综合通信服务,即融合语音(IVR)GPRS短
如何通过Mac飞信开通飞信服务用户可以通过以下方法开通飞信服务1。运行Mac飞信,点击登录界面的ldquo注册rdquo链接,进入飞信官方网站的免费注册飞信页面,根据页面的提示进行操作即可。2。中国移动用户编辑
可以通过飞信号登录迷你飞信吗不可以通过飞信号登录迷你飞信。目前迷你飞信仅支持使用中国移动的手机号进行登录。飞信是中国移动的综合通信服务,即融合语音(IVR)GPRS短信等多种通信方式,覆盖三种不同形态(完全实
如何通过网页版飞信设置自己的心情短语在网页版飞信首页,点击用户的心情短语栏,激活心情短语编辑框,输入新的心情短语,按回车键或点击编辑框外旁白处即可完成设置。飞信是中国移动的综合通信服务,即融合语音(IVR)GPRS短
Mac飞信如何查看与好友的聊天记录在聊天窗口中,点击ldquo查看历史记录rdquo图标,打开历史记录管理器窗口,即可查看与该好友的聊天记录。飞信是中国移动的综合通信服务,即融合语音(IVR)GPRS短信等多种通信
如何通过迷你飞信接收消息当有好友向您发送消息时,迷你飞信弹出收到消息窗口。在消息窗口中显示本次接收到的消息。如果同一好友有多条消息,可以通过点击ldquo查看上一条消息rdquo图标ldquo查看下一条消
燃气壁挂炉博世怎么使用博世燃气壁挂炉使用规范博世燃气壁挂炉具有强大的家庭中央供暖功能,各个房间能够根据需求随意设定舒适温度,并且能够提供大流量恒温卫生热水,供家庭沐浴厨房等场所使用。越来越多的用户选择博世壁挂炉,今天就让我们壁挂炉采暖方式怎么样德国博世壁挂炉有哪些优势随着家用壁挂炉的日益普及,能源消耗也呈现高速增长的势头,政府相关政策已经明示,鼓励和要求推广高效节能绿色环保的节能产品,意味着节能时代已经到来。近年来,随着壁挂炉这种新型的采暖方式德国欧德宝燃气壁挂炉怎么样德国欧德宝燃气壁挂炉优势详解现在大家在选购燃气壁挂炉的时候都会选择一个好的品牌,这样才能保证日后的使用不会频繁的出现故障。德国欧德宝燃气壁挂炉作为燃气壁挂炉品牌中比较好的一个,很多人在使用之后都给出非常好的评燃气锅炉什么品牌好燃气锅炉品牌介绍详解随着现在人们对生活要求的不断提高,逐渐出现了很多不错的产品,这些产品提升着我们生活的质量,方便着我们的生活,燃气锅炉就是其中的一种。燃气锅炉能够方便大家对冷水进行加热,大家在冬天也燃气热水锅炉什么品牌好燃气热水锅炉品牌推荐详解在我们大家购买使用取暖设备的时候,燃气取暖锅炉,使用是非常的广泛的,受到了众多消费者的喜爱,但是在购买的时候大家肯定会有一些考虑,那今天小编就来为大家介绍下我们的十款非常不错的燃气家用采暖锅炉哪家好家用采暖锅炉品牌介绍详解家用采暖锅炉主要起着加热的功能,它帮助了我们抵御了冬天的严寒,为我们普通老百姓带来很大福音。家用采暖锅炉自推出至现在一直受到消费者的青睐,因此市场上出现了各种品牌的家用采暖锅炉,家水地暖燃气锅炉什么品牌好水地暖燃气锅炉品牌推荐详解一款好的供暖锅炉能够让我们大家在室内取暖及使用热水的时候得到很好的帮助,而如果我们家庭中是安装的地暖进行取暖工作的话,一款燃气锅炉可以提供一个非常好的供暖效果。所以为了帮助大家能够燃气热水真空锅炉什么牌子好燃气真空热水锅炉品牌推荐详解真空锅炉是一种负压运行的锅炉,它其实已经有了40多年的发展历史。最早的真空锅炉技术是起源于日本,现在已经在全世界各地的供热领域得到了广泛的运用。真空锅炉的问世,打破了人们以往在供热燃气热水锅炉什么牌子好燃气热水锅炉品牌推荐介绍在我们的家庭生活中,我们一般都会选择一款热水取暖设备,而燃气热水锅炉就是一款人们使用比较广泛的设备,那今天小编为了大家以后购买方便,就来为大家推荐几款非常不错的燃气热水锅炉的品牌,燃气热水器哪家好燃气热水器有哪些好品牌详解燃气热水器是现在家庭选择最多的一种类型的热水器,针对燃气热水器这一类型推出的新产品很多,品牌也很多,消费者可能不知道要怎么去选择,为了帮助您更好的了解这些品牌,下面来看看最新的品牌燃气热水器哪家质量好燃气热水器品牌推荐燃气热水器可以说是现在使用最普遍的一种热水器类型,跟燃气管道连接,加热起来也是更加方便的。随着现在市场竞争的不断加剧,燃气热水器的品牌也是在不断的增多,很多消费者在选购的时候也都会