病毒名称:
I-Worm.Zafi.d
类别: 蠕虫病毒
病毒资料:
破坏方法:
该病毒是一个通过邮件传播的蠕虫病毒,采用FSG加壳
该病毒:
在系统目录下复制自己:
%SYSDIR%Norton Update.exe
同时生成几个后缀名为DLL的文件,那是病毒自己制作的压缩包或病毒本身,比如:
tzmrqscf.dll
rlygiijg.dll
病毒修改注册表以图随系统自启动,键值如下:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
WXP4 = "%SYSDIR%\Norton Update.exe"
病毒搜索下列固定硬盘: C:D:E:F:G:H:,感染包含下列字符的目录:
share,upload,music
复制到这些目录的文件名可能为:
WinAMP 5.7 new!.exe、
ICQ 2005a new!.exe
比如:
C:\Program Files\Common Files\Microsoft Shared
\winamp 5.7 new!.exe
终止包含如下字眼的进程
因此导致该程序无法再次执行,比如regedit.exe:
reged,msconfig,task
病毒搜索后缀名为下列字符的文件,得到要感染的Email地址:
htm,
mab,
txt,
dbx,
tbb,
ASP,
PHP,
sht,
adb,
mbx,
eml,
pmr,
fpt,
inb
会自动避免感染包含下列字符的email
地址:
yaho,
Google,
win,
use,
info,
help,
admi,
webm,
micro,
MSN,
hotm,
suppor,
syman,
viru,
trend,
secur,
panda,
cafee,
sopho,
kasper
病毒也会从注册表中和Wab文件中检索邮件联系人
病毒搜到的信息会保存在注册表中:
HKLM\Software\Microsoft\Wxp4
如:
t2 = "Java2d-interest@sun.com" --这就是搜到的email地址
mA = "C:\WINNT\regedit.exe" --这是病毒打开的文件
病毒通过向上面搜到的邮件地址发送带毒邮件来进行传播,内容随机,附件即是病毒
病毒的清除法:
使用光华反病毒软件,彻底删除。
病毒演示:
病毒FAQ:
Windows下的PE病毒。
发现日期:
2004-12-15
