Email-Worm.Win32.Zafi.b

病毒名称： Email-Worm.Win32.Zafi.b

病毒类型： 邮件蠕虫

危害等级： 高

文件长度： 12,803 字节

感染系统： Windows 9x以上的系统

开发工具： Visual C++

加壳类型： FSG

病毒描述：

该病毒通过邮件传播，为感染 ]pe 格式的病毒。在 %system32% 下复制自身，病毒名为随机的八个字符。同时在此目录下生成 11 个动态连接库文件。病毒搜索下列固定硬盘。添加计划任务，达到随系统启动的目的。搜索某些扩展名的文件。遍历系统进程，终止网络天空的进程。控制 regedit.exe 等进程，使系统无法调用。

行为分析：

1 、创建互斥体 "_Hazafibb"

2 、修改注册表，添加键值，键值不定，为随机字符 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\_Hazafibb

3 、 检查系统进程中是否有网络天空的进程 jammer2nd.exe 和 fvprotect.exe ，若存在则将其终止，并删除该病毒的文件。

4 、 占用如下程序使其他进程无法调用： mstask.exe ， regedit.exe ， taskman.exe ， taskmgr.exe

5 、 默认遍历 c、d、e、f、g、h 盘，寻找扩展名为 htm、wab、txt、dbx、tbb、asp 、 php 、 sht 、 adb 、 mbx 、 eml 、 pmr 、 fpt 、 inb 的文件，搜索其中的 email 地址并发邮件。会自动避免感染包含下列字符的 email 地址： yaho 、 google 、 win 、 use 、 info、 help 、 admi 、 webm 、 micro 、 msn 、 hotm 、 suppor 、 syman 、 viru 、 trend 、 secu 、 panda 、 cafee 、 sopho 、 kasper

6 、 在 %system32% 下复制病毒体，并释放十一个动态连接库文件 ，文件名为随机的八个字符，其中一个为病毒体。

7 、添加计划任务启动自身，纪录在 %system32% 下生成 SchedLgU.Txt 文件中，同时复制该文件到系统盘根目录下 sys.txt 。