Worm.Zorin.a的病毒侵染过程

Worm.Zorin.a的病毒侵染过程

在当前目录释放DLL文件virDLL.dll（Worm.Logo.d），并将它远程注入到EXPLORER.EXE进程中。

添加注册表键值：

HKEY_LOCAL_MACHINE\SOFTWARE\Soft\DownloadWWW

auto=1

查找窗口名和窗口类为：

RavMon.exe

RavMonClass

天网防火墙个人版

Tapplication

天网防火墙企业版

TForm1

噬菌体

TfLockDownMain

的窗口并关闭它们。 EGHOST.EXE

MAILMON.EXE

KAVPFW.EXE

KWatchUI.EXE

IPARMOR.EXE

卸载密码防盗专家 综合版。 修改%System32\drivers\etc\hosts文件将许多常用网址重定向到某个指定网址，病毒修在hosts文件尾部增加以下内容：

66.197.186.149 www.hinet.net

66.197.186.149 www.pchome.com.tw

66.197.186.149 www.msn.com.tw

66.197.186.149 www.yam.com

66.197.186.149 www.google.com.tw

66.197.186.149 www.gamer.com.tw

66.197.186.149 www.taiwankiss.com

66.197.186.149 www.sina.com.tw

66.197.186.149 www.so-net.net.tw

66.197.186.149 www.uhome.net

66.197.186.149 www.gamania.com

66.197.186.149 www.104.com.tw

66.197.186.149 www.tp.edu.tw

66.197.186.149 www.seed.net.tw

66.197.186.149 www.tw18.com

66.197.186.149 www.gamebase.com.tw

66.197.186.149 www.hello.com.tw

66.197.186.149 www.taiwandns.com

66.197.186.149 www.ithome.com.tw

66.197.186.149 www.cartoonnetwork.com.tw

66.197.186.149 bubble.com.tw

66.197.186.149 tw.ebay.com

66.197.186.149 www.microsoft.com

66.197.186.149 www.oc-gamer.com

66.197.186.149 www.igame.com.tw

66.197.186.149 www.funtown.com.tw

66.197.186.149 www.softstar.com.tw

66.197.186.149 service.gamania.com

66.197.186.149 www.gamezone.idv.tw

66.197.186.149 www.ggame.com.tw

66.197.186.149 www.gamestation.com.tw

66.197.186.149 www.lineage2.com.tw

66.197.186.149 tw.games.yahoo.com

66.197.186.149 www.iogc.com.tw

66.197.186.149 www.transakt.com.tw

66.197.186.149 www.softking.com.tw

66.197.186.149 groups.msn.com

66.197.186.149 www.mofa.com.tw

66.197.186.149 dir.pchome.com.tw

66.197.186.149 www.sa.game.tw

66.197.186.149 www.books.com.tw

66.197.186.149 www.gamemaster.com

66.197.186.149 www.newspace.com.tw

66.197.186.149 www.e-box.net.tw

66.197.186.149 gnn.gamer.com.tw

66.197.186.149 pc.gamebase.com.tw

66.197.186.149 twbbs.net.tw

66.197.186.149 www.twindex.com.tw

66.197.186.149 www.t2t.com.tw

66.197.186.149 www.girl-tw.com

66.197.186.149 www.sogi.com.tw

66.197.186.149 hdvd.com.tw

66.197.186.149 cgi.tw.ebay.com

66.197.186.149 movie.kingnet.com.tw

66.197.186.149 www.atmovies.com.tw

66.197.186.149 www.movie.com.tw

66.197.186.149 www.kokoro.com.tw

66.197.186.149 www.twgirls.net

66.197.186.149 bbs.vips.com.tw

66.197.186.149 www.symantec.com

66.197.186.149 www.symantec.com.tw

66.197.186.149 liveupdate.symantecliveupdate.com

将自身复制到可写的网络磁盘中，以感染更多机器；通过猜测密码感染局域网中计算机的ipc$、admin$。

感染本地计算机所有磁盘中的EXE文件，除了名字为以下字符串的目录中的文件：

system

system32

windows

Documents and Settings

System Volume Information

Recycled

winnt

Windows NT

WindowsUpdate

Windows Media Player

Outlook Express

Internet Explorer

ComPlus Applications

NetMeeting

Common Files

Messenger

Microsoft Office

InstallShield Installation Information

MSN

Microsoft Frontpage

Movie Maker

MSN Gaming Zone

病毒将自身写入被感染文件的头部。