攻击Google和微软：W32Erekez病毒分析

该病毒通过在受感染计算机使用自带的SMTP引擎大规模发送邮件进行传播，并将自身拷贝到类似网络中共享的文件夹中。

当它开始发作时，它会尝试去覆写.exe文件，这些可执行文件通常都是安全类产品，包括诺顿等大家广泛使用的国外厂商产品。

其他名称：W32/Zafi.c @MM[McAfee], Zafi.C [F-Secure], W32/Zafi.C.worm [Panda], I-Worm.Zafi.c [Kaspersky]

病毒类型：蠕虫

病毒长度：15,993字节

受影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP

风险指数：低

破坏指数：中

感染指数：高

病毒分析：

1，创建如下文件：

%System%\svchost.com

%System%\svchost.con

2,在系统文件夹下创建名为svchost.coX(X为随机数字)

3，在如下注册表项中：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

添加如下键值：

"_svchost.con"="%System%\svchost.com"

以方便病毒在启动Windows时同时自动启动。

4，创建存储病毒信息的注册表条目：

HKEY_LOCAL_MACHINE\Software\Microsoft\UpdateZ3

5，修改如下注册表项：

KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessParameters\FirewallPolicy\StandardProfile

的如下键值：

"DisableNotifications" = "1"

"EnableFirewall" = "0"

"DoNotAllowExceptions" = "0"

6，修改如下注册表项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center

中的如下键值：

"AntiVirusDisableNotify" = "1"

"FirewallDisableNotify" = "1"

"UpdatesDisableNotify" = "1"

"AntiVirusOverride" = "1"

"FirewallOverride" = "1"

7，创建如下日志文件：

C:\tm.txt

8，禁止用户运行包含如下字符串的程序：

reged(例如：regedit将无法使用)

msconfig(此为Windows配置实用程序)

task(任务管理器：taskmanager将无法使用)

9，病毒会搜索计算机内所有文件和文件夹，以查找出所有防/杀病毒程序文件和文件夹：

当查到安全程序执行文件时，将自身拷贝并覆盖该文件

当查到安全程序所在的文件夹时，将该文件夹及其子目录下所有可执行文件覆盖。

10，搜索类似网络共享的文件夹，查找从C到H的所有盘符中包含“share”或“upload”或“downlo”字符串的文件夹。

将自身拷贝到搜索到的文件夹中，有可能是下面的文件名：

Install_AIM.exe

uninstall.exe

doom3 keygen.exe(晕，又是一个玩游戏迷来的？？？)

想拿A75相机,现在就进来答题 •全球独家首测RV410

论坛网友召集A95团购 •视窗专区常见问题汇总

一周摄影作品汇总投票 •论坛篮球赛,火热报名进行中

想拿A75相机,现在就进来答题 •全球独家首测RV410

论坛网友召集A95团购 •视窗专区常见问题汇总

一周摄影作品汇总投票 •论坛篮球赛,火热报名进行中

想拿A75相机,现在就进来答题 •全球独家首测RV410

论坛网友召集A95团购 •视窗专区常见问题汇总

一周摄影作品汇总投票 •论坛篮球赛,火热报名进行中

11，搜索计算机中所有的邮件地址，并将它们保存到%System%\svchost.coX(X为随机数字)中，〔《窘?拥刂凡炯叭缦吕┱姑?奈募?械玫接始?刂罚?/P

.htm

.wab

.txt

.dbx

.tbb

.asp

.php

.sht

.adb

.mbx

.eml

.pmr

不过，它不去拷贝含有如下字符串的邮件地址：

info

help

aol

webm

micro

msn

hotmail

co

suppor

syma

vir

trend

panda

hoo

com

cafee

sopho

google

kasper

12，使用自身的SMTP引擎将自身发送到搜集到的邮件地址中去，邮件内容会使用多种不同的语言，而病毒本身作为附件发送，为双扩展名形式。

13，同时，在受感染计算机上发送无数HTTP请求到如下Web站点以执行DoS--拒绝服务攻击：

www.google.com

www.microsoft.com

www.miniszterelnok.hu

清除方法：

1，重新启动计算机，进入带VGA的安全模式

2，永久删除前文所述所有病毒文件

3，删除如下注册表项：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

中的如下键值：

"_svchost.con"="%System%\svchost.com"

4，删除如下注册表项：

HKEY_LOCAL_MACHINE\Software\Microsoft\UpdateZ3

5，重新启动计算机，重新安装防病毒程序，立即升级病毒库。

• ·预防大学寝室中WindowsXP系统问题
• ·eBay病毒说：恭喜，您中奖
• ·2004病毒和反病毒技术发展综述
• ·朱德庸作品--霹雳双响炮(朱德庸作品)|报价￥
• ·疯狂盗取游戏CDKEY：Spybot新变种分析
• ·反黑网络防火墙KasperskyAnti-Ha
• ·朱德庸作品--再见双响炮(朱德庸作品)|报价￥
• ·代理（Proxy）模式
• ·朱德庸作品--幸运双响炮(朱德庸作品)|报价￥
• ·朱德庸作品--泡沫醋溜族(现代风情·朱德庸都市