首页 | 邮件资讯 | 技术教程 | 解决方案 | 产品评测 | 邮件人才 | 邮件博客 | 邮件系统论坛 | 软件下载 | 邮件周刊 | 热点专题 | 工具
网络技术 | 操作系统 | 邮件系统 | 客户端 | 电子邮箱 | 反垃圾邮件 | 邮件安全 | 邮件营销 | 移动电邮 | 邮件软件下载 | 电子书下载

邮件网络安全

系统安全 | 邮件软件漏洞 | 攻防技术 | 安全基础 | 病毒公告 | 病毒查杀 | Forefront/TMG/ISA | 防火墙 | 数字签名 |
首页 > 邮件网络安全 > 操作系统安全 > “罗姆”病毒干掉杀毒软件发起ARP攻击 > 正文

“罗姆”病毒干掉杀毒软件发起ARP攻击

出处:赛迪网 作者:赛迪网 时间:2007-6-14 1:33:42

病毒名:Win32.Troj.Romdrivers.ka

中文名:罗姆

影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003

该病毒会导致大量安全软件运行失败(即便是将病毒解决掉以后,还是会发现杀毒软件不能运行);会下载大量盗号木马到用户计算机来盗取用户帐号信息。

该病毒严重影响局域网,发送大量ARP欺骗数据包,造成企业网络中断。

以下是关于这个病毒的详细分析,清除病毒后,需要手工删除“ws2_32.dll”文件夹,以修复杀毒软件的正常功能。毒霸的修复工具稍后提供。

1、释放以下病毒文件:

系统分区:\Program Files\Internet Explorer\romdrivers.dll

系统分区:\Program Files\Internet Explorer\romdrivers.bak

系统分区:\Program Files\Internet Explorer\romdrivers.bkk

2、创建以下注册表项来使病毒文件随系统启动来启动(其CLSID不定):

HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236} 
HKCR\CLSID\{0CD68AC9-FF63-3E61-626B-B663E62F6236}\InProcServer32\(Default) "C:\Program 
Files\Internet Explorer\romdrivers.dll" 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CD68AC9-FF63-
3E61-626B-B663E62F6236} ""

3、尝试删除以下注册表项来防止其它病毒的干扰:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
{DE35052A-9E37-4827-A1EC-79BF400D27A4} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-
11d0-97EE-00C04FD91972} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{DD7D4640-4464-
48C0-82FD-21338366D2D2} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-
4678-B2FE-F2D7381CC1B5} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-
4678-B2FE-F2D7381CC1B5} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{131AB311-16F1-
F13B-1E43-11A24B51AFD1} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{274B93C2-A6DF-
485F-8576-AB0653134A76} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-
46D0-8C92-B8E71A4304DF} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66-
3E63-636B-B693E62F6236} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-
3E63-636B-B693E62F6236} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-
4810-B363-A788CD060F1F} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-
49AA-9ADA-49127D43138F} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF56-
6E73-937B-B893E72F6226} 
5HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{01F6EB6F-AB5C-
1FDD-6E5B-FB6EE3CC6CD6} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06E6B6B6-BE3C-
6E23-6C8E-B833E2CE63B8} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BC0ACA58-6A6F-
51DA-9EFE-9D20F4F621BA} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-
11d0-97EE-00C04FD91972} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99F1D023-7CEB-
4586-80F7-BB1A98DB7602} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FEB94F5A-69F3-
4645-8C2B-9E71D270AF2E} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{923509F1-45CB-
4EC0-BDE0-1DED35B8FD60} 
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{42A612A4-4334-
4424-4234-42261A31A236}

4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录,在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹,从而使相关安全软件运行失败。

SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

5、将NOD32的库文件nod32.000改名为nod32.000.bak,从而使NOD32无法查杀病毒。

6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息,以便病毒升级,如下:其中"Me"记录病毒本体的版本,数字表示下载的病毒的序号,其值记录相应病毒的版本信息。

HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32"
HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98"
HKEY_CURRENT_USER\Software\SetVer\ver 3 "2.992"
HKEY_CURRENT_USER\Software\SetVer\ver 4 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 5 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 6 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 7 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 8 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 9 "2.99"
HKEY_CURRENT_USER\Software\SetVer\ver 10 "1.98"
HKEY_CURRENT_USER\Software\SetVer\ver 11 "1.991"
HKEY_CURRENT_USER\Software\SetVer\ver 12 "1.891"
HKEY_CURRENT_USER\Software\SetVer\ver 13 "1.91"
HKEY_CURRENT_USER\Software\SetVer\ver 14 "1.0"

8、创建消息钩子

将病毒文件romdrivers.dll注入到explorer进程中,然后通过explorer来连接网络进行病毒自更新,下载大量盗号木马到用户计算机来盗取用户相关帐号。

9、进行ARP欺骗,造成局域网网络阻塞并导致无法上网。

10、删除hosts文件来取消用户对某些网站的屏蔽。

11、下载的木马运行后会释放以下文件到Temp目录:

fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe

fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等。

12、下载的木马运行后创建以下注册表项:把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名,如:  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 
fysa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wosa "C:\DOCUME~1
\ADMINI~1\LOCALS~1\Temp\woso.exe"
相关文章 热门文章
  • 漫画网管员系列:病毒及垃圾邮件伤不起
  • 金山公布十大病毒集团名单 业务重点转向网购
  • 中国邮箱用户满意度普遍较低,防病毒反垃圾邮件体验最差
  • 江民2009年度中国大陆地区计算机病毒疫情报告
  • Outlook防病毒防垃圾邮件的办法
  • Freebsd环境下基于qmail系统的反病毒反垃圾邮件系统构建
  • 伪微软更新病毒卷土重来
  • 僵尸网络利润可观 引犯罪分子尽折腰
  • 启用Outlook病毒防护功能
  • services.exe病毒查杀:services.exe病毒清除技巧
  • 企业邮箱病毒蔓延,信息安全拯救刻不容缓
  • 阻断恶意病毒攻击:隔离、遏制、消灭
  • ipc$详细解释大全
  • 利用RPC漏洞入侵服务器
  • 配置策略禁止139/445端口连接
  • 使用windows脚本入侵WINDOWS服务器
  • 木马克星――Trojan Ender正式国际版 2.0.0
  • 让你的终端服务器“固若金汤”
  • 诡秘的DLL木马
  • Windows源码泄露 微软建议用户升级至IE6 SP1
  • 安装Win2003 Server下的Snort
  • 微软最新漏洞公告10号发布 MS04-007最严重
  • 如何配置解决Win2K服务器安全问题
  • 构筑更安全的乐园--Windows安全解决方案解析
  • 自由广告区
     
    最新软件下载
  • SharePoint Server 2010 部署文档
  • Exchange 2010 RTM升级至SP1 教程
  • Exchange 2010 OWA下RBAC实现的组功能...
  • Lync Server 2010 Standard Edition 标..
  • Lync Server 2010 Enterprise Edition...
  • Forefront Endpoint Protection 2010 ...
  • Lync Server 2010 Edge 服务器部署文档
  • 《Exchange 2003专家指南》
  • Mastering Hyper-V Deployment
  • Windows Server 2008 R2 Hyper-V
  • Microsoft Lync Server 2010 Unleashed
  • Windows Server 2008 R2 Unleashed
  • 今日邮件技术文章
  • 腾讯,在创新中演绎互联网“进化论”
  • 华科人 张小龙 (中国第二代程序员 QQ...
  • 微软推出新功能 提高Hotmail密码安全性
  • 快压技巧分享:秒传邮件超大附件
  • 不容忽视的邮件营销数据分析过程中的算..
  • 国内手机邮箱的现状与未来发展——访尚..
  • 易观数据:2011Q2中国手机邮箱市场收入..
  • 穿越时空的爱恋 QQ邮箱音视频及贺卡邮件
  • Hotmail新功能:“我的朋友可能被黑了”
  • 入侵邻居网络发骚扰邮件 美国男子被重..
  • 网易邮箱莫子睿:《非你莫属》招聘多过..
  • 中国电信推广189邮箱绿色账单
  • 最新专题
  • 鸟哥的Linux私房菜之Mail服务器
  • Exchange Server 2010技术专题
  • Windows 7 技术专题
  • Sendmail 邮件系统配置
  • 组建Exchange 2003邮件系统
  • Windows Server 2008 专题
  • ORF 反垃圾邮件系统
  • Exchange Server 2007 专题
  • ISA Server 2006 教程专题
  • Windows Vista 技术专题
  • “黑莓”(BlackBerry)专题
  • Apache James 专题
  • 分类导航
    邮件新闻资讯:
    IT业界 | 邮件服务器 | 邮件趣闻 | 移动电邮
    电子邮箱 | 反垃圾邮件|邮件客户端|网络安全
    行业数据 | 邮件人物 | 网站公告 | 行业法规
    网络技术:
    邮件原理 | 网络协议 | 网络管理 | 传输介质
    线路接入 | 路由接口 | 邮件存储 | 华为3Com
    CISCO技术 | 网络与服务器硬件
    操作系统:
    Windows 9X | Linux&Uinx | Windows NT
    Windows Vista | FreeBSD | 其它操作系统
    邮件服务器:
    程序与开发 | Exchange | Qmail | Postfix
    Sendmail | MDaemon | Domino | Foxmail
    KerioMail | JavaMail | Winwebmail |James
    Merak&VisNetic | CMailServer | WinMail
    金笛邮件系统 | 其它 |
    反垃圾邮件:
    综述| 客户端反垃圾邮件|服务器端反垃圾邮件
    邮件客户端软件:
    Outlook | Foxmail | DreamMail| KooMail
    The bat | 雷鸟 | Eudora |Becky! |Pegasus
    IncrediMail |其它
    电子邮箱: 个人邮箱 | 企业邮箱 |Gmail
    移动电子邮件:服务器 | 客户端 | 技术前沿
    邮件网络安全:
    软件漏洞 | 安全知识 | 病毒公告 |防火墙
    攻防技术 | 病毒查杀| ISA | 数字签名
    邮件营销:
    Email营销 | 网络营销 | 营销技巧 |营销案例
    邮件人才:招聘 | 职场 | 培训 | 指南 | 职场
    解决方案:
    邮件系统|反垃圾邮件 |安全 |移动电邮 |招标
    产品评测:
    邮件系统 |反垃圾邮件 |邮箱 |安全 |客户端
    广告联系 | 合作联系 | 关于我们 | 联系我们 | 繁體中文
    版权所有:邮件技术资讯网©2003-2010 www.5dmail.net, All Rights Reserved
    www.5Dmail.net Web Team   粤ICP备05009143号