病毒警告及技术资料:Worm.zafi.b(请大家小心）

病毒警告及技术资料:Worm.zafi.b(请大家小心） - 打印版本

+- MyTFLS社区 (https://community.mytfls.com)
+-- 论坛：电脑区 (https://community.mytfls.com/forum-19.html)
+--- 论坛：系统+网络+硬件 (https://community.mytfls.com/forum-20.html)
+--- 主题：病毒警告及技术资料:Worm.zafi.b(请大家小心） (/thread-2574.html)

病毒警告及技术资料:Worm.zafi.b(请大家小心） - taiyuan123 - 2004-6-18

以下转自金山论坛.

金山毒霸反病毒中心在6月17日上午截获“灾飞”病毒及其变种(Worm.Zafi.b)，该病毒是一种蠕虫病毒，在两小时之内就已经截获2万封带毒邮件。该病毒通过P2P软件或者邮件传播，感染系统后会终止大量反病毒软件，并用病毒体去替换反病毒软件的主程序，导致反病毒软件无法运作，同时禁止运行部分系统程序，以防止用户手动终止病毒进程，还会对指定网页发动DoS攻击。该病毒传播速度极快，会对网络造成严重堵塞。

病毒信息：
病毒名称: Worm.Zafi
中文名称： “灾飞”病毒
威胁级别: 3C
受影响系统: Win95/Win98/WinMe/WinNT/Win2000/WinXP/Win2003

传染条件：
1、将自身拷贝到P2P软件的共享文件夹中，文件名为流行软件的名称，诱骗其他用户下载执行。
2、从系统中收集邮件地址，将病毒体作为附件随邮件发送出去。

破坏方法：
1、中止大量反病毒软件，并用病毒文件替换反病毒软件的主程序，导致反病毒软件无法使用。
2、禁止用户运行注册表编辑器、系统配置程序和任务管理器，防止用户手动终止病毒进程。
3、对指网页发起DoS攻击。

技术特点：
1、通过打开互斥体“"_Hazafibb”来防止多次运行

2、拷贝自身到%System%
文件名为：八个随机字母组成的文件名，扩展名分别为.exe .dll

3、会随机建立一些长度为８个随机字母的dll文件

4、建立注册表键值：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

4、向注册表以下位置：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
添加
"_Hazafibb"="%system%\<random file name>.exe"

5、搜索本地硬盘的共享文件夹，拷贝自身到共享文件夹并命名为：
winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe

6、随机打开一个web页面，地址从以下读取：
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

7、通过连接下列网址来确定用户是否联网
http://www.google.com
http://www.microsoft.com

8、对下列地址进行dos攻击：
http://www.parlament.hu
http://www.virusbuster.hu
http://www.virushirado.hu
http://www.2f.hu

9、禁止用户运行下列程序：
regedit
msconfig
task

10、搜索已知的反病毒产品并结束这些正在运行的防火墙，然后用自身覆盖掉这些反病毒软件的主程序。

11、从本地扩展名为以下文件中搜索email地址：
.htm
.wab
.txt
.dbx
.tbb
.asp
.php
.sht
.adb
.mbx
.eml
.pmr
跳过为包含以下字符的email地址：
admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
use
vir
webm
win
yaho

12、利用自己的smtp引擎向搜索到的email地址发送邮件，如果email的主机为以下时，信的内容为当地的语言：
.hu
.sp
.ru
.dk
.ro
.se
.no
.fi
.lt
.pl
.pt
.de
.nl
.cz
.fr
.it
.mx
.at

13、这些信件的特征为：
发件人：The "From:" field of the email is spoofed
标题：为空
附件为：名字为随机的字符构成，扩展名为： .com, .exe, or .pif
例如：
To: Anita
Subject: Ingyen SMS!
Attachment: "regiszt.php?3124freesms.index777.pif"
Message:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a http://www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

To: Claudia
Subject: Importante!
Attachment: "link.informacion.phpV23.text.message.pif"
Message:
Informacion importante que debes conocer, -

To: Katya
Subject: oKatya
Attachment: "view.link.index.image.phpV23.sexHdg21.pif"

To: Eva
Subject: E-Kort!
Attachment: "link.ekort.index.phpV7ab4.kort.pif"
Message: Mit hjerte banker for dig!

To: Marica
Subject: Ecard!
Attachment: "link.showcard.index.phpAv23.ritm.pif"
Message:
De cand te-am cunoscut inima mea are un nou ritm
解决方案：
1、请使用金山毒霸2004年06月17日的病毒库可完全处理该病毒；

2、如果没有安装杀毒软件用户可以登录http://online.kingsoft.net，使用金山毒霸的在线查毒或是金山毒霸下载版来防止新病毒的侵入；金山公司的为广大用户提供反病毒咨询，电话 010-82386868。

3、企业用户拨打当地金山毒霸企业反病毒服务中心电话，我们将在2小时内响应，4小时上门，为您提供专业的反病毒技术服务。
北京 010-82334488-5013/5020
上海 021-54233510
广州 020-87538603
南京 025-84416612/84414790
成都 028-84300291/84300797
另附上DUBA的专杀>>>http://www.duba.net/download/3/154.shtml

谢谢taiyuan123 - donet - 2004-6-20

谢谢taiyuan123

3Q~好辛苦~ - 中轴线 - 2004-6-25

3Q~好辛苦~