名稱
相關資料
金山毒霸反病毒中心在6月17日上午截獲“災飛”病毒及其變種(Worm.Zafi.b),該病毒是一種蠕蟲病毒,在兩小時之內就已經截獲2萬封帶毒郵件。該病毒通過P2P軟體或者郵件傳播,感染系統後會終止大量反病毒軟體,並用病毒體去替換反病毒軟件的主程式,導致反病毒軟體無法運作,同時禁止運行部分系統程式,以防止用戶手動終止病毒進程,還會對指定網頁發動DoS攻擊。該病毒傳播速度極快,會對網路造成嚴重堵塞。病毒信息:
病毒名稱: Worm.Zafi
中文名稱: “災飛”病毒
威脅級別: 3C
受影響系統: Win95/Win98/WinMe/WinNT/Win2000/WinXP/Win2003
傳染條件:
1、將自身拷貝到P2P軟體的已分享檔案夾中,檔案名稱為流行軟體的名稱,誘騙其他用
戶下載執行。
2、從系統中收集郵件地址,將病毒體作為附屬檔案隨郵件傳送出去。
破壞方法:
1、中止大量反病毒軟體,並用病毒檔案替換反病毒軟體的主程式,導致反病毒軟體
無法使用。
2、禁止用戶運行註冊表編輯器、系統配置程式和任務管理器,防止用戶手動終止病
毒進程。
3、對指網頁發起DoS攻擊。
技術特點:
1、通過打開互斥體“"_Hazafibb”來防止多次運行
2、拷貝自身到%System%
檔案名稱為:八個隨機字母組成的檔案名稱,擴展名分別為.exe .dll
3、會隨機建立一些長度為8個隨機字母的dll檔案
4、建立註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb
4、向註冊表以下位置:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加
"_Hazafibb"="%system%\<random file name>.exe"
5、搜尋本地硬碟的已分享檔案夾,拷貝自身到已分享檔案夾並命名為:
winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe
6、隨機打開一個web頁面,地址從以下讀取:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
7、通過連線下列網址來確定用戶是否聯網
www.google.com
www.microsoft.com
8、對下列地址進行dos攻擊:
www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu
9、禁止用戶運行下列程式:
regedit
msconfig
task
10、搜尋已知的反病毒產品並結束這些正在運行的防火牆,然後用自身覆蓋掉這些反病毒軟體的主程式。
11、從本地擴展名為以下檔案中搜尋email地址:
.htm
.wab
.txt
.dbx
.tbb
.asp
.php
.sht
.adb
.mbx
.eml
.pmr
跳過為包含以下字元的email地址:
admi
cafee
help
hotm
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
use
vir
webm
win
yaho
12、利用自己的smtp引擎向搜尋到的email地址傳送郵件,如果email的主機為以下時,信的內容為當地的語言:
.hu
.sp
.ru
.dk
.ro
.se
.no
.fi
.lt
.pl
.pt
.de
.nl
.cz
.fr
.it
.mx
.at
13、這些信件的特徵為:
發件人:The "From:" field of the email is spoofed
標題:為空
附屬檔案為:名字為隨機的字元構成,擴展名為: .com, .exe, or .pif
例如:
To: Anita
Subject: Ingyen SMS!
Attachment: "regiszt.php?3124freesms.index777.pif"
Message:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
To: Claudia
Subject: Importante!
Attachment: "link.informacion.phpV23.text.message.pif"
Message:
Informacion importante que debes conocer, -
To: Katya
Subject: oKatya
Attachment: "view.link.index.image.phpV23.sexHdg21.pif"
To: Eva
Subject: E-Kort!
Attachment: "link.ekort.index.phpV7ab4.kort.pif"
Message: Mit hjerte banker for dig!
To: Marica
Subject: Ecard!
Attachment: "link.showcard.index.phpAv23.ritm.pif"
Message:
De cand te-am cunoscut inima mea are un nou ritm
解決方案:
· 請使用金山毒霸2004年06月17日的病毒庫可完全處理該病毒;
