中文名稱：羅姆

　　病毒類型：木馬

　　威脅級別：★★

　　影響系統(tǒng)：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

　　病毒行為:

　　該病毒會導(dǎo)致大量安全軟件運行失敗;會下載大量盜號木馬到用戶計算機來盜取用戶帳號信息。

　　攻擊動作

　　1、釋放以下病毒文件：

　　系統(tǒng)分區(qū):Program FilesInternet Explorerromdrivers.dll

　　系統(tǒng)分區(qū):Program FilesInternet Explorerromdrivers.bak

　　系統(tǒng)分區(qū):Program FilesInternet Explorerromdrivers.bkk

　　2、創(chuàng)建以下注冊表項來使病毒文件隨系統(tǒng)啟動來啟動(其CLSID不定)：

　　HKCRCLSID{0CD68AC9-FF63-3E61-626B-B663E62F6236}

　　HKCRCLSID{0CD68AC9-FF63-3E61-626B-B663E62F6236}InProcServer32(Default) "C:Program FilesInternet Explorerromdrivers.dll"

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{0CD68AC9-FF63-3E61-626B-B663E62F6236} ""

　　3、嘗試刪除以下注冊表項來防止其它病毒的干擾：

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DE35052A-9E37-4827-A1EC-79BF400D27A4}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-11d0-97EE-00C04FD91972}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{DD7D4640-4464-48C0-82FD-21338366D2D2}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{B8A170A8-7AD3-4678-B2FE-F2D7381CC1B5}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{131AB311-16F1-F13B-1E43-11A24B51AFD1}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{274B93C2-A6DF-485F-8576-AB0653134A76}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{1496D5ED-7A09-46D0-8C92-B8E71A4304DF}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{0CB68AD9-FF66-3E63-636B-B693E62F6236}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{09B68AD9-FF66-3E63-636B-B693E62F6236}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{754FB7D8-B8FE-4810-B363-A788CD060F1F}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{A6011F8F-A7F8-49AA-9ADA-49127D43138F}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{06A68AD9-FF56-6E73-937B-B893E72F6226}

　　5HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{01F6EB6F-AB5C-1FDD-6E5B-FB6EE3CC6CD6}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{06E6B6B6-BE3C-6E23-6C8E-B833E2CE63B8}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{BC0ACA58-6A6F-51DA-9EFE-9D20F4F621BA}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{AEB6717E-7E19-11d0-97EE-00C04FD91972}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{99F1D023-7CEB-4586-80F7-BB1A98DB7602}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{FEB94F5A-69F3-4645-8C2B-9E71D270AF2E}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{923509F1-45CB-4EC0-BDE0-1DED35B8FD60}

　　HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks{42A612A4-4334-4424-4234-42261A31A236}

　　4、通過查詢以下注冊表項的某些鍵值來獲取相關(guān)安全軟件的安裝目錄，在獲得安裝目錄下生成以系統(tǒng)文件名"ws2_32.dll"命名的文件夾，從而使相關(guān)安全軟件運行失敗。

　　SOFTWARErisingRav

　　SOFTWAREKingsoftAntiVirus

　　SOFTWAREJiangMin

　　SOFTWAREKasperskyLabInstalledProductsKaspersky Anti-Virus Personal

　　SOFTWAREKasperskyLabSetupFolders

　　SOFTWARENetwork AssociatesTVDShared ComponentsFramework

　　SOFTWAREEsetNodCurrentVersionInfo

　　SOFTWARESymantecSharedUsage

　　SOFTWAREMicrosoftWindowsCurrentVersionApp Paths360safe.exe

　　5、將NOD32的庫文件nod32.000改名為nod32.000.bak，從而使NOD32無法查殺病毒。

　　6、嘗試查找并關(guān)閉窗口名為“卡巴斯基反病毒Personal”的窗口和其所屬的線程。

　　7、添加以下注冊表項來記錄當前在用戶計算機上的病毒個數(shù)及每個病毒的版本信息，以便病毒升級，如下：其中"Me"記錄病毒本體的版本，數(shù)字表示下載的病毒的序號，其值記錄相應(yīng)病毒的版本信息。

　　HKEY_CURRENT_USERSoftwareSetVerver Me "1.32"

　　HKEY_CURRENT_USERSoftwareSetVerver 1 "2.96"

　　HKEY_CURRENT_USERSoftwareSetVerver 2 "2.98"

　　HKEY_CURRENT_USERSoftwareSetVerver 3 "2.992"

　　HKEY_CURRENT_USERSoftwareSetVerver 4 "2.93"

　　HKEY_CURRENT_USERSoftwareSetVerver 5 "2.93"

　　HKEY_CURRENT_USERSoftwareSetVerver 6 "2.96"

　　HKEY_CURRENT_USERSoftwareSetVerver 7 "2.96"

　　HKEY_CURRENT_USERSoftwareSetVerver 8 "2.93"

　　HKEY_CURRENT_USERSoftwareSetVerver 9 "2.99"

　　HKEY_CURRENT_USERSoftwareSetVerver 10 "1.98"

　　HKEY_CURRENT_USERSoftwareSetVerver 11 "1.991"

　　HKEY_CURRENT_USERSoftwareSetVerver 12 "1.891"

　　HKEY_CURRENT_USERSoftwareSetVerver 13 "1.91"

　　HKEY_CURRENT_USERSoftwareSetVerver 14 "1.0"

　　8、創(chuàng)建消息鉤子，將病毒文件romdrivers.dll注入到explorer進程中，然后通過explorer來連接網(wǎng)絡(luò)進行病毒自更新，下載大量盜號木馬到用戶計算機來盜取用戶相關(guān)帳號。

　　9、進行ARP欺騙，造成局域網(wǎng)網(wǎng)絡(luò)阻塞并導(dǎo)致無法上網(wǎng)。

　　10、刪除hosts文件來取消用戶對某些網(wǎng)站的屏蔽。

　　11、下載的木馬運行后會釋放以下文件到Temp目錄：

　　fyso.exe, jtso.exe, mhso.exe, qjso.exe, qqso.exe, wgso.exe, wlso.exe, wmso.exe, woso.exe, ztso.exe, daso.exe, tlso.exe, rxso.exe

　　fyso0.dll, jtso0.dll, mhso0.dll, qjso0.dll, qqso0.dll, wgso0.dll, wlso0.dll, wmso0.dll, woso0.dll, ztso0.dll, daso0.dll, tlso0.dll, rxs0.dll 等

　　12、下載的木馬運行后創(chuàng)建以下注冊表項：把病毒exe文件文件名中的“o”改為“a” 做為注冊表啟動項的鍵名，如：

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun fysa "C:DOCUME~1ADMINI~1LOCALS~1Tempfyso.exe"

　　HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun wosa "C:DOCUME~1ADMINI~1LOCALS~1Tempwoso.exe"