病毒名称：W32.HLLW.Oror.B@mm

　　别名：I-Worm.Roron.12 [AVP]

　　变种：W32.HLLW.Oror@mm

　　发现日期：2002-11-06

　　病毒类型：蠕虫

　　感染长度： 131,072 字节, 139,264 字节, 72,192 字节, 131,072 字节

　　危害级别：中

　　传播速度：快

　　病毒危害：

　　1.发送邮件：会向邮箱及Windows地址簿中的所有地址发送大量病毒邮件；

　　2.删除文件：会删除反病毒文件；

　　3.修改文件：修改Win.ini使得蠕虫能随Windows启动而运行；

　　4.泄露数据：会将缓存Frethem/index.htm" target="_blank" style='text-decoration: underline;color: #0000FF'>密码发送给蠕虫作者；

　　5.危及电脑安全：会删除“安全程序”文件，关闭安全窗口；

　　病毒传播

　　1.电子邮件

　　主题：众多

　　附件：众多

　　附件大小： 131,072字节,139,264字节,72,192字节,131,072字节

　　2.共享磁盘：会将自己复制到本地及网络磁盘上

　　技术特征：

　　该蠕虫不仅能过邮件传播，还会利用mIRC、网络共享及映射驱动器传播。它会试图关闭各种反病毒软件及防火墙程序窗口，并删除这些反病毒软件及防火墙程序。

　　其病毒邮件特征为；

　　主题: Blondinkii

　　附件: Blondies.exe

　　主题: <被感染机器当前用户名> sent you a Yahoo! Greeting_

　　附件: Yahoo!Tomcats.exe

　　主题: Microsoft Bulgaria_

　　附件: IE_0274_bg.exe

　　主题: Vajno_

　　附件: IE50_032_Setup.exe

　　主题: WinAmp Team_

　　附件: Iguana1.0_skin.exe

　　主题: Virus Alert_

　　附件: IE_0276_Setup.exe

　　主题: Yahoo! Toolbar_

　　附件: Yahoo!Toolbar.exe

　　蠕虫运行后，会：

　　1.显示假的报错窗口；

　　2.以随机文件名将自己复制到Windows目录下。

　　3.添加键值LoadCurrentProfile <随机文件名> powprof.dll,LoadCurrentUserProfile

　　至注册表HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

　　使得蠕虫能随Windows启动而自己动运行。

　　4.从C:%system%文件夹下随机选取一个文件名并将自己复制为如下之一：

　　C:%system%<所选择的文件名>2k<扩展名>

　　C:%system%<所选择的文件名>16<扩展名>

　　C:%system%<所选择的文件名>32<扩展名>

　　如，蠕虫找到这样一个文件C:WindowsSystemNetapi.exe，它则会将自己复制成C:WindowsSystemNetapi16.exe。

　　5.插入如下代码至C:WindowsWin.ini，导致病毒副本在Windows 95/98/Me每次重启时会自动运行：

　　[windows]

　　run=C:%System%<蠕虫文件>。

　　6.随机选择C:%ProgramFiles%下的一个子文件夹，并将自己复制到此文件夹下，以文件夹相同名称加上 "2k","16",或"32"作为其文件名。然后在注册表中添加键值指向此病毒副本：[未结束]