net-worm.win32.zorin.a这个一个会感染可执行文件的蠕虫病毒。该病毒会终止金山毒霸、金山网镖、天网防火墙等安全软件，大大降低了用户机器的安全性能;病毒会释放一个dll文件的蠕虫病毒，并将该dll文件注入到explorer.exe进程中;病毒修改hosts文件，是得用户访问许多常用网址时重定向到指定的网址，可能使用户中新的病毒。

摘要

　　病毒别名：net-worm.win32.zorin.a[avp]

　　威胁级别：★★

　　中文名称：

　　病毒类型：蠕虫

　　影响系统：win9x/winnt

　　病毒行为:

　　病毒将自身复制到可写的网络磁盘中，并通过猜测密码感染局域网中更多的计算机;病毒还会感染本地计算机所有磁盘中的exe文件，除了某些常见目录中的文件，如system、system32、windows、documentsandsettings、systemvolumeinformation等等。

病毒侵染过程

　　注册表的修改

　　在当前目录释放dll文件virdll.dll(worm.logo.d)，并将它远程注入到explorer.exe进程中。

　　添加注册表键值：

　　hkey_local_machine\software\soft\download.tw

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149bubble.com.tw

　　66.197.186.149tw.ebay.com

　　66.197.186.149

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149service.gamania.com

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149tw.games.yahoo.com

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149groups.msn.com

　　66.197.186.149.tw

　　66.197.186.149dir.pchome.com.tw

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149pc.gamebase.com.tw

　　66.197.186.149twbbs.net.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149hdvd.com.tw

　　66.197.186.149cgi.tw.ebay.com

　　66.197.186.149movie.kingnet.com.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149.tw

　　66.197.186.149

　　66.197.186.149.tw

　　66.197.186.149liveupdate.symantecliveupdate.com

　　将自身复制到可写的网络磁盘中，以感染更多机器;通过猜测密码感染局域网中计算机的ipc$、admin$。

　　感染本地计算机所有磁盘中的exe文件，除了名字为以下字符串的目录中的文件：

　　system

　　system32

　　windows

　　documentsandsettings

　　systemvolumeinformation

　　recycled

　　winnt

　　windowsnt

　　windowsupdate

　　windowsmediaplayer

　　outlookexpress

　　internetexplorer

　　complusapplications

　　netmeeting

　　commonfiles

　　messenger

　　microsoftoffice

　　installshieldinstallationinformation

　　msn

　　microsoftfrontpage

　　moviemaker

　　msngamingzone

　　病毒将自身写入被感染文件的头部。

清除方法

　　2.添加注册表键值：

　　hkey_local_machine\software\soft\downloadwww

　　"auto"="0"

　　使用最新病毒库的杀毒软件进行查杀