今天接到了好几起感染这个病毒的案例 分析了一下 这个病毒就是先前的罗姆病毒的新变种

File: Windows.scr
Size: 28024 bytes
Modified: 2007年9月11日, 23:49:55
MD5: E47C0D7E26B63E44DD5929618E64FD57
SHA1: 072597E8C7D3F6FD3644919414245BCE42317C33
CRC32: 4E29C95D

1.生成如下文件：
C:Program FilesCommon FilesfjOs0r.dll
C:Program FilesInternet ExplorerOnlO0r.bak（就是windows.scr文件）
C:Program FilesInternet ExplorerOnlO0r.dll
C:Program FilesInternet ExplorerOnlO0r.obk

fjOs0r.dll和OnlO0r.dll注入到Explorer进程中

2.添加注册表键值
HKCRCLSID{CC3596CB-D6C1-ECA1-AE51-DEEA63F6C21C}InProcServer32
指向C:Program FilesInternet ExplorerOnlO0r.dll
HKCRCLSID{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}InProcServer32
指向HKCRCLSID{6C7596CB-31CC-BBA3-BE51-2EEA62F9C51D}InProcServer32
达到开机自动加载的目的

3.如果有新的移动存储设备插入电脑，则往里面写入windows.scr和autorun.inf文件

4.通过遍历HKEY_LOCAL_MACHINE下 相关软件的installpath,ProgramPath,Folder,InstallDir,Installed Path等的键值 获得某些安全软件的安装目录，比如360安全卫士，瑞星杀毒软件，诺顿等

在这些安全软件的目录中创建MFC42.DLL的文件夹并在MFC42.DLL文件夹下生成歧义文件夹10I11O10..导致windows下无法删除该文件夹