概述
病毒別名:W32.Erkez.D@mm【諾頓】 WORM_ZAFI.D【趨勢】 Email-Worm.Win32.Zafi.d【AVP】處理時間:
威脅級別:★★★
中文名稱:災飛D
病毒類型:蠕蟲
影響系統:Win9x / WinNT
病毒行為:
該蠕蟲通過郵件和網路共享進行傳播。病毒將自己偽裝為聖誕節電子賀卡,發給找到的電子信箱地址中。病毒還將自己偽裝為新版的聊天工具 ICQ 2005 或 音頻播放軟體 winamp 5.7 放到已分享資料夾中,誘使用戶打開。用戶運行後,會彈出一個對話框故意報告壓縮檔損壞,以麻痹用戶。病毒會在感染機器上開啟一個後門,供遠程黑客控制。病毒傳送的郵件:
運行後,彈出欺騙性對話框:
1、病毒生成以下檔案
%System%\Norton Update.exe (病毒本身)
%System%\%8位隨機字母%.dll (保存找到的郵件地址)
%System%\%8位隨機字母%.dll (大小11873 自身的壓縮檔)
C:\s.cm (日誌檔案)
2、查找有shar字元的目錄,並複製自身為以下檔案名稱之一:
winamp 5.7 new!.exe
ICQ 2005a new!.exe
3、在註冊表中添加啟動鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Wxp4" = "%System%\Norton Update.exe"
這樣可以在每次開機時自動運行,檔案名稱偽裝為 Norton 的升級程式。
4、將自身一些信息保存到註冊表中的如下鍵內:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
5、嘗試通過80連線埠連線 microsoft.com 網站
6、創建互斥量:
Wxp4
保證只有一個進程運行
7、終止含有以下字元的進程
reged
msconfig
task
syman
viru
trend
secur
panda
cafee
sopho
kasper
這樣註冊表管理器、任務管理器、MS配置程式、防毒軟體都無法運行,給清除病毒帶來不便。
8、開啟 TCP8181 連線埠,作為後門
9、從以下擴展名檔案中查找可能的電子郵件地址:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
10、如果找的電子郵件地址有以下字元,則不傳送:
yaho
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper
11、病毒郵件的主題為以下之一:
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
12、郵件內容為:
:) %發件人名稱%
http://%信箱域名%/附屬檔案名.%jpg或gif%%隨機4位數字% - Picture Size: 11 KB, Mail: +OK
13、附屬檔案為病毒,其擴展名可能為以下之一:
.bat
.cmd
.com
.pif
.zip
