簡介
I-Worm/Zafi病毒長度:
病毒類型:網路蠕蟲
危害等級:**
影響平台:Win9X/2000/XP/NT/Me/2003
I-Worm/Zafi是一個群發郵件蠕蟲,傳送自身到從感染病毒的計算機上找到的所有郵件地址。
傳播過程及特徵:
1.如果計算機時間為2004年5月1號,將顯示下列匈牙利文字:
Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan,
s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember
millios vagyonokra tesz szert, mitsem torodve velunk.
Latszat emberek iranyitanak, kik emelik fizetesunk, s ketszer annyi adot vonnak le,
kik igazsagszolgaltatasrol regelnek, mikor a bunozoket es a novekvo agressziot vedik
torvenyeikkel, kik inkabb Forma1-re pocsekoljak a penzt, mialatt hajlektalanok
halnak meg naponta utcainkon, s korhazi betegek szenvednek szukseges muszerek nelkul.
Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre
mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!!
Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot,
tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!
== HAZAFI == /Pecs,2004, (SNAF Team)/
如果計算機時間不是4月那么它將結束自身。
2.在系統目錄下複製自身為<隨機的8個字元>.exe同時生成同名的.dll檔案。
3.修改註冊表:
生成子鍵:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Hazafi -- 存貯蠕蟲的配置信息;
添加鍵值:"<任意值>"="%system%\<任意檔案名稱>.exe"到註冊表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下。
4.利用連線http:/ /www.google.com站點來檢查動態網路連線。
5.結束下列進程:
dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe
6.從IE歷史記錄中隨機選擇一個URL用IE打開。
7.在下列類型的檔案中搜尋合法的郵件地址:
.htm ,.wab ,.txt ,.dbx ,.tbb ,.asp ,.php ,
.sht ,.adb ,.mbx ,.eml ,.pmr
避免向包含下列字元串的地址傳送郵件:
microsoft ,vir ,trendmicro ,avp ,f-prot ,
hotmail, gov ,anti ,panda ,norton
傳送的郵件特徵:
發件人:偽造或kepeslapok@meglep.hu主題:kepeslap erkezett!
附屬檔案: link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com
註:%Windir%為變數,一般為C:\Windows 或 C:\Winnt;
%System%為變數,一般為C:\Windows\System (Windows 95/98/Me),
C:\Winnt\System32 (Windows NT/2000), 或
C:\Windows\System32 (Windows XP)。
