I-Worm/Zafi.b
I-Worm/Zafi.b
病毒长度:12,800 字节
病毒类型:网络蠕虫
危害等级:**
影响平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Zafi.b是用FSG压缩的群发邮件蠕虫病毒,发送自身到从感染计算机上找到的所有地址。
传播过程及特征:
1.复制自身到系统目录下,文件名为:
<8个任意字符>.exe
<8个任意字符>.dll
并在系统目录下生成一些.dll文件,文件名为8个任意字符,用来存储搜索的邮件地址。
2.修改注册表:
添加键值:"_Hazafibb"="%system%\\<任意文件名>.exe"
到注册表:HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run
3.在从C到H的硬盘下搜索包含"share"和"upload"字样的文件夹,并复制自身到此目录下,文件名为下列之一:
winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe
4.从注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\TypedURLs下任意选择键值,装载到浏览器的默认页。
5.通过访问www.google.com 和www.microsoft.com 来检查网络动态连接情况。
6.发送大量的HTTP GET请求,对下列网站发动DoS攻击。
www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu
7.意图阻止用户运行包含regedit 、msconfig 、task 等字符的程序。
8.搜索驱动器下所有属于安全产品的文件及文件夹,并作相应处理:
/如果发现的是文件,则蠕虫会用副本文件进行覆盖。
/如果发现的是文件夹,则蠕虫会用副本文件覆盖文件夹及其子文件夹下的所有.exe文件。
此外,它会覆盖下列文件夹下的所有.exe文件:
%Program Files%\\Symantec
%Program Files%\\Norton AntiVirus
9.在Windows地址簿里搜索有效的邮件地址,还遍历所有驱动器下下列类型文件试图发现邮件地址:
.htm .wab .txt .dbx .tbb .asp .php .sht .adb
.mbx .eml .pmr
但对于地址中包含下列字符串的予以放弃:
admi, cafee, google, help, hotm, info, kasper,
micro, msn, panda, sopho, suppor, syma, trend,
use, vir, webm, win, yaho
然后利用自带的SMTP引擎发送蠕虫到上述地址,邮件发件人是伪造的,主题、正文及附件根据域名的不同而不同,并且在语言使用方面也受此影响,如果域名中包含下列列表中字符则使用本地语言,否则一律使用英语。
域名列表:
.hu、.sp、.ru、.dk、.ro、.se、.no、.fi、.lt、.pl、
.pt、.de、.nl、.cz、.fr、.it、.mx、.at