灾飞病毒(Worm.Zafi.b)是一种蠕虫病毒,在两小时之内就已经截获2万封带毒邮件。该病毒通过P2P软件或者邮件传播,感染系统后会终止大量反病毒软件,并用病毒体去替换反病毒软件的主程序,导致反病毒软件无法运作,同时禁止运行部分系统程序,以防止用户手动终止病毒进程,还会对指定网页发动DoS攻击。该病毒传播速度极快,会对网络造成严重堵塞。
武器性能
病毒信息编辑本段
病毒名称: Worm.Zafi
中文名称: “灾飞”病毒
威胁级别: 3C
受影响系统: Win95/Win98/WinMe/WinNT/Win2000/WinXP/Win2003
传染条件编辑本段
1、将自身拷贝到P2P软件的共享文件夹中,文件名为流行软件的名称,诱骗其他用
户下载执行。
2、从系统中收集邮件地址,将病毒体作为附件随邮件发送出去。
破坏方法:
1、中止大量反病毒软件,并用病毒文件替换反病毒软件的主程序,导致反病毒软件
无法使用。
2、禁止用户运行注册表编辑器、系统配置程序和任务管理器,防止用户手动终止病
毒进程。
3、对指网页发起DoS攻击。
技术特点:
1、通过打开互斥体“"_Hazafibb”来防止多次运行
2、拷贝自身到%System%
文件名为:八个随机字母组成的文件名,扩展名分别为.exe .dll
3、会随机建立一些长度为8个随机字母的dll文件
4、建立注册表键值:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft\_Hazafibb
4、向注册表以下位置:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
添加
"_Hazafibb"="%system%<random file name>.exe"
5、搜索本地硬盘的共享文件夹,拷贝自身到共享文件夹并命名为:
winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe
6、随机打开一个web页面,地址从以下读取:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs
7、通过连接下列网址来确定用户是否联网
www.google.com
www.microsoft.com
8、对下列地址进行dos攻击:
www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu
9、禁止用户运行下列程序:
regedit
msconfig
task
10、搜索已知的反病毒产品并结束这些正在运行的防火墙,然后用自身覆盖掉这些反病毒软件的主程序。
11、从本地扩展名为以下文件中搜索email地址:
.htm
.wab
.txt
.dbx
.tbb
.asp
.php
.sht
.adb
.mbx
.eml
.pmr
跳过为包含以下字符的email地址:
admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
use
vir
webm
win
yaho
12、利用自己的smtp引擎向搜索到的email地址发送邮件,如果email的主机为以下时,信的内容为当地的语言:
.hu
.sp
.ru
.dk
.ro
.se
.no
.fi
.lt
.pl
.pt
.de
.nl
.cz
.fr
.it
.mx
.at
13、这些信件的特征为:
发件人:The "From:" field of the email is spoofed
标题:为空
附件为:名字为随机的字符构成,扩展名为: .com, .exe, or .pif
例如:
To: Anita
Subject: Ingyen SMS!
Attachment: "regiszt.php?3124freesms.index777.pif"
Message:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
To: Claudia
Subject: Importante!
Attachment: "link.informacion.phpV23.text.message.pif"
Message:
Informacion importante que debes conocer, -
To: Katya
Subject: oKatya
Attachment: "view.link.index.image.phpV23.sexHdg21.pif"
To: Eva
Subject: E-Kort!
Attachment: "link.ekort.index.phpV7ab4.kort.pif"
Message: Mit hjerte banker for dig!
To: Marica
Subject: Ecard!
Attachment: "link.showcard.index.phpAv23.ritm.pif"
Message:
De cand te-am cunoscut inima mea are un nou ritm
传播特点编辑本段
病毒运行后,在C盘根目录下创建c:s.cm,在系统文件下创建norton update.exe和一个.dll文件。显示一文件出错对话框,修改注册表添加启动项,以使自己与Windows同时启动。病毒还会将自身复制到名字包含"shar"字样的文件夹中,同时尝试终止注册表编辑器、Msconfig、任务管理器和多种杀毒软件进程,并尝试连接微软网站microsoft.com。病毒还会感染机器上开启后门端口8181,接收黑客命令。
最后,在计算机上搜集电子邮件地址,保存在%SystemDir%[随机8字符名称].dll文件中,并利用其自带的SMTP引擎发送带毒电子邮件。
附件列表
词条内容仅供参考,如果您需要解决具体问题
(尤其在军事战略、军事时事等领域),建议您咨询相关领域专业人士。
如果您认为本词条还有待完善,请 编辑
上一篇 自动运行木马变种YTK 下一篇 布雷特580