Worm.Zorin.a病毒是什么？Worm.Zorin.a病毒如何查杀？

Net-Worm.Win32.Zorin.a 这个一个会感染可执行文件的蠕虫病毒。该病毒会终止金山毒霸、金山网镖、天网防火墙等安全软件，大大降低了用户机器的安全性能;病毒会释放一个DLL文件的蠕虫病毒，并将该DLL文件注入到EXPLORER.EXE进程中;病毒修改“hosts”文件，是得用户访问许多常用网址时重定向到指定的网址，可能使用户中新的病毒。

摘要

病毒别名：Net-Worm.Win32.Zorin.a[AVP]

威胁级别：★★

中文名称：

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

病毒将自身复制到可写的网络磁盘中，并通过猜测密码感染局域网中更多的计算机;病毒还会感染本地计算机所有磁盘中的EXE文件，除了某些常见目录中的文件，如system、system32、windows、Documents and Settings、System Volume Information等等。

病毒侵染过程

注册表的修改

在当前目录释放DLL文件virDLL.dll(Worm.Logo.d)，并将它远程注入到EXPLORER.EXE进程中。

添加注册表键值：

HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW

"auto"="1"

查找窗口名和窗口类为：

RavMon.exe

RavMonClass

天网防火墙个人版

Tapplication

天网防火墙企业版

TForm1

噬菌体

TfLockDownMain

的窗口并关闭它们。

终止进程

EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

KWatchUI.EXE

IPARMOR.EXE

卸载密码防盗专家 综合版。

修改内容

修改%System32driversetchosts文件将许多常用网址重定向到某个指定网址，病毒修在hosts文件尾部增加以下内容：

66.197.186.149 www.hinet.net

66.197.186.149 www.pchome.com.tw

66.197.186.149 www.msn.com.tw

66.197.186.149 www.yam.com

66.197.186.149 www.google.com.tw

66.197.186.149 www.gamer.com.tw

66.197.186.149 www.taiwankiss.com

66.197.186.149 www.sina.com.tw

66.197.186.149 www.so-net.net.tw

66.197.186.149 www.uhome.net

66.197.186.149 www.gamania.com

66.197.186.149 www.104.com.tw

66.197.186.149 www.tp.edu.tw

66.197.186.149 www.seed.net.tw

66.197.186.149 www.tw18.com

66.197.186.149 www.gamebase.com.tw

66.197.186.149 www.hello.com.tw

66.197.186.149 www.taiwandns.com

66.197.186.149 www.ithome.com.tw

66.197.186.149 www.cartoonnetwork.com.tw

66.197.186.149 bubble.com.tw

66.197.186.149 tw.ebay.com

66.197.186.149 www.microsoft.com

66.197.186.149 www.oc-gamer.com

66.197.186.149 www.igame.com.tw

66.197.186.149 www.funtown.com.tw

66.197.186.149 www.softstar.com.tw

66.197.186.149 service.gamania.com

66.197.186.149 www.gamezone.idv.tw

66.197.186.149 www.ggame.com.tw

66.197.186.149 www.gamestation.com.tw

66.197.186.149 www.lineage2.com.tw

66.197.186.149 tw.games.yahoo.com

66.197.186.149 www.iogc.com.tw

66.197.186.149 www.transakt.com.tw

66.197.186.149 www.softking.com.tw

66.197.186.149 groups.msn.com

66.197.186.149 www.mofa.com.tw

66.197.186.149 dir.pchome.com.tw

66.197.186.149 www.sa.game.tw

66.197.186.149 www.books.com.tw

66.197.186.149 www.gamemaster.com

66.197.186.149 www.newspace.com.tw

66.197.186.149 www.e-box.net.tw

66.197.186.149 gnn.gamer.com.tw

66.197.186.149 pc.gamebase.com.tw

66.197.186.149 twbbs.net.tw

66.197.186.149 www.twindex.com.tw

66.197.186.149 www.t2t.com.tw

66.197.186.149 www.girl-tw.com

66.197.186.149 www.sogi.com.tw

66.197.186.149 hdvd.com.tw

66.197.186.149 cgi.tw.ebay.com

66.197.186.149 movie.kingnet.com.tw

66.197.186.149 www.atmovies.com.tw

66.197.186.149 www.movie.com.tw

66.197.186.149 www.kokoro.com.tw

66.197.186.149 www.twgirls.net

66.197.186.149 bbs.vips.com.tw

66.197.186.149 www.symantec.com

66.197.186.149 www.symantec.com.tw

66.197.186.149 liveupdate.symantecliveupdate.com

将自身复制到可写的网络磁盘中，以感染更多机器;通过猜测密码感染局域网中计算机的ipc$、admin$。

感染本地计算机所有磁盘中的EXE文件，除了名字为以下字符串的目录中的文件：

system

system32

windows

Documents and Settings

System Volume Information

Recycled

winnt

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

病毒将自身写入被感染文件的头部。

清除方法

2.添加注册表键值：

HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW

"auto"="0"

使用最新病毒库的杀毒软件进行查杀