I-Worm/Zafi.b

I-Worm/Zafi.b

病毒长度：12,800 字节

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Zafi.b是用FSG压缩的群发邮件蠕虫病毒，发送自身到从感染计算机上找到的所有地址。

传播过程及特征：

1.复制自身到系统目录下，文件名为：

<8个任意字符>.exe

<8个任意字符>.dll

并在系统目录下生成一些.dll文件，文件名为8个任意字符,用来存储搜索的邮件地址。

2.修改注册表：

添加键值："_Hazafibb"="%system%\\<任意文件名>.exe"

到注册表：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

3.在从C到H的硬盘下搜索包含"share"和"upload"字样的文件夹，并复制自身到此目录下，文件名为下列之一：

winamp 7.0 full_install.exe

Total Commander 7.0 full_install.exe

4.从注册表HKEY_CURRENT_USER\\Software\\Microsoft\\Internet Explorer\\TypedURLs下任意选择键值，装载到浏览器的默认页。

5.通过访问www.google.com 和www.microsoft.com 来检查网络动态连接情况。

6.发送大量的HTTP GET请求，对下列网站发动DoS攻击。

www.parlament.hu

www.virusbuster.hu

www.virushirado.hu

www.2f.hu

7.意图阻止用户运行包含regedit 、msconfig 、task 等字符的程序。

8.搜索驱动器下所有属于安全产品的文件及文件夹，并作相应处理：

/如果发现的是文件，则蠕虫会用副本文件进行覆盖。

/如果发现的是文件夹，则蠕虫会用副本文件覆盖文件夹及其子文件夹下的所有.exe文件。

此外，它会覆盖下列文件夹下的所有.exe文件：

%Program Files%\\Symantec

%Program Files%\\Norton AntiVirus

9.在Windows地址簿里搜索有效的邮件地址，还遍历所有驱动器下下列类型文件试图发现邮件地址：

.htm .wab .txt .dbx .tbb .asp .php .sht .adb

.mbx .eml .pmr

但对于地址中包含下列字符串的予以放弃：

admi, cafee, google, help, hotm, info, kasper,

micro, msn, panda, sopho, suppor, syma, trend,

use, vir, webm, win, yaho

然后利用自带的SMTP引擎发送蠕虫到上述地址，邮件发件人是伪造的，主题、正文及附件根据域名的不同而不同，并且在语言使用方面也受此影响，如果域名中包含下列列表中字符则使用本地语言，否则一律使用英语。

域名列表：

.hu、.sp、.ru、.dk、.ro、.se、.no、.fi、.lt、.pl、

.pt、.de、.nl、.cz、.fr、.it、.mx、.at