一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒--计算机文谷--系统安全

系统安全

综合技术数据库安全编程安全加密解密漏洞补丁安全文摘系统分类安全方案木马病毒防火墙安全产品
安全资讯黑客技术网络攻防

您现在的位置： IT文谷 >> 系统安全 >> 木马病毒 >> 文章正文

一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒

一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒2007-6-20 10:05:02一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒2007-6-20 10:05:02一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒

一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒

文谷 www.wengu.com
来源：本站原创作者：佚名
时间：2007-6-20 10:05:02 浏览人数：

一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒

F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{131AB311-16F1-F13B-1E43-11A24B51AFD1}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{274B93C2-A6DF-485F-8576-AB0653134A76}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0CB68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{09B68AD9-FF66-3E63-636B-B693E62F6236}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{754FB7D8-B8FE-4810-B363-A788CD060F1F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{A6011F8F-A7F8-49AA-9ADA-49127D43138F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06A68AD9-FF56-6E73-937B-B893E72F6226}
5HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{AEB6717E-7E19-11d0-97EE-00C04FD91972}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{99F1D023-7CEB-4586-80F7-BB1A98DB7602}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{42A612A4-4334-4424-4234-42261A31A236}

4、通过查询以下注册表项的某些键值来获取相关安全软件的安装目录，在获得安装目录下生成以系统文件名"ws2_32.dll"命名的文件夹，从而使相关安全软件运行失败。
SOFTWARE\\rising\\Rav
SOFTWARE\\Kingsoft\\AntiVirus
SOFTWARE\\JiangMin
SOFTWARE\KasperskyLab\InstalledProducts\Kaspersky Anti-Virus Personal
SOFTWARE\\KasperskyLab\\SetupFolders
SOFTWARE\Network Associates\TVD\Shared Components\Framework
SOFTWARE\Eset\Nod\CurrentVersion\Info
SOFTWARE\\Symantec\\SharedUsage
SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\360safe.exe

5、将NOD32的库文件nod32.000改名为nod32.000.bak，从而使NOD32无法查杀病毒。

6、尝试查找并关闭窗口名为“卡巴斯基反病毒Personal”的窗口和其所属的线程。

7、添加以下注册表项来记录当前在用户计算机上的病毒个数及每个病毒的版本信息，以便病毒升级，如下：其中"Me"记录病毒本体的版本，数字表示下载的病毒的序号，其值记录相应病毒的版本信息。
HKEY_CURRENT_USER\Software\SetVer\ver Me "1.32"
HKEY_CURRENT_USER\Software\SetVer\ver 1 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 2 "2.98"
HKEY_CURRENT_USER\Software\SetVer\ver 3 "2.992"
HKEY_CURRENT_USER\Software\SetVer\ver 4 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 5 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 6 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 7 "2.96"
HKEY_CURRENT_USER\Software\SetVer\ver 8 "2.93"
HKEY_CURRENT_USER\Software\SetVer\ver 9 "2.99"
HKEY_CURRENT_USER\Software\SetVer\ver 10 "1.98"
HKEY_CURRENT_USER\Software\SetVer\ver 11 "1.991"
HKEY_CURRENT_USER\Software\SetVer\ver 12 "1.891"
HKEY_CURRENT_USER\Software\SetVer\ver 13 "1.91"
HKEY_CURRENT_USER\Software\SetVer\ver 14 "1.0"

8、创建消息钩子

将病毒文件romdrivers.dll注入到explorer进程中，然后通过explorer来连接网络进行病毒自更新，下载大量盗号木马到用户计算机来盗取用户相关帐号。

9、进行ARP欺骗，造成局域网网络阻塞并导致无法上网。

10、删除hosts文件来取消用户对某些网站的屏蔽。

11、下载的木马运行后会释放以下文件到Temp目录：
fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe
fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

12、下载的木马运行后创建以下注册表项：把病毒exe文件文件名中的“o”改为“a” 做为注册表启动项的键名，如： 　
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run fysa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\fyso.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run wosa "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\woso.exe"

来源：http://hi.baidu.com/litiejun/blog/item/7e692df3e11493ca0b46e023.html

一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒

上一篇文章： terebmi.exe和nuygtvw.exe病毒杀除方法

下一篇文章：没有了

进入论坛讨论

terebmi.exe和nuygtvw.exe病毒杀除方法
ARP病毒问题的处理
QQ高危漏洞危及IE 某IT网站被植“熊猫烧香”
如何预防熊猫烧香病毒？
猖狂的Sxs.exe病毒处理方法
viking(logo_1.exe rundl132.exe)的另一个查杀方法
威金病毒(logo_1.exe)及变种该如何查杀
Infostealer(winscok.dll)木马的杀除方法
彻底解决Trojan.PSW.QQPass病毒
查杀新rundl132.exe（7b. com .cn）病毒的过程
spoolsv.exe占用cpu 99%的解决方法
EXE文件关联丢失的解决方法

热门文章	最新推荐

版权与免责声明：
① 本网转载其他媒体稿件是为传播更多的信息，此类稿件不代表本网观点，版权归原作者所有，本网不承担此类稿件侵权行为的连带责任。
② 本站原创文章，转载时请注明出自文谷及作者姓名
③在本网BBS上发表言论者，文责自负。
④如您因版权等问题需要与本网联络，请在30日内联系。

一个强暴杀毒软件发ARP攻击的病毒——“罗姆”病毒

全站热点