I-Worm.Zafi.d

2008-02-23 09:18:20来源：互联网阅读 ()

病毒名称: I-Worm.Zafi.d 类别：蠕虫病毒病毒资料：破坏方法：

该病毒是一个通过邮件传播的蠕虫病毒，采用FSG加壳

该病毒：
在系统目录下复制自己：
％SYSDIR％Norton Update.exe

同时生成几个后缀名为DLL的文件，那是病毒自己制作的压缩包或病毒本身，比如：

tzmrqscf.dll
rlygiijg.dll

病毒修改注册表以图随系统自启动，键值如下：

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WXP4 = "％SYSDIR％\Norton Update.exe"
病毒搜索下列固定硬盘： C：D：E：F：G：H：,感染包含下列字符的目录：

share,upload,music

复制到这些目录的文件名可能为：

WinAMP 5.7 new!.exe、
ICQ 2005a new!.exe

比如：

C:\Program Files\Common Files\Microsoft Shared
\winamp 5.7 new!.exe

终止包含如下字眼的进程<病毒通过搜索相应文件来遍历进程，不释放文件句柄，
因此导致该程序无法再次执行，比如regedit.exe>：

reged,msconfig,task

病毒搜索后缀名为下列字符的文件，得到要感染的Email地址<自动略过包含firewall,virus的目录>：

htm,
mab,
txt,
dbx,
tbb,
ASP,
PHP,
sht,
adb,
mbx,
eml,

pmr,
fpt,
inb

会自动避免感染包含下列字符的email
地址：

yaho,
Google,
win,
use,
info,
help,
admi,
webm,
micro,
MSN,
hotm,
suppor,
syman,
viru,
trend,
secur,
panda,
cafee,
sopho,
kasper

病毒也会从注册表中和Wab文件中检索邮件联系人
病毒搜到的信息会保存在注册表中：

HKLM\Software\Microsoft\Wxp4

如：
t2 = "Java2d-interest@sun.com" －－这就是搜到的email地址
mA = "C:\WINNT\regedit.exe" －－这是病毒打开的文件

病毒通过向上面搜到的邮件地址发送带毒邮件来进行传播，内容随机，附件即是病毒
病毒的清除法：使用光华反病毒软件，彻底删除。病毒演示：病毒FAQ： Windows下的PE病毒。
发现日期： 2004-12-15

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有