I-Worm.Zafi.d

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

病毒名称:

I-Worm.Zafi.d

类别: 蠕虫病毒

病毒资料:

破坏方法:

该病毒是一个通过邮件传播的蠕虫病毒,采用FSG加壳

该病毒:

在系统目录下复制自己:

%SYSDIR%Norton Update.exe

同时生成几个后缀名为DLL的文件,那是病毒自己制作的压缩包或病毒本身,比如:

tzmrqscf.dll

rlygiijg.dll

病毒修改注册表以图随系统自启动,键值如下:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

WXP4 = "%SYSDIR%\Norton Update.exe"

病毒搜索下列固定硬盘: C:D:E:F:G:H:,感染包含下列字符的目录:

share,upload,music

复制到这些目录的文件名可能为:

WinAMP 5.7 new!.exe、

ICQ 2005a new!.exe

比如:

C:\Program Files\Common Files\Microsoft Shared

\winamp 5.7 new!.exe

终止包含如下字眼的进程

因此导致该程序无法再次执行,比如regedit.exe:

reged,msconfig,task

病毒搜索后缀名为下列字符的文件,得到要感染的Email地址:

htm,

mab,

txt,

dbx,

tbb,

ASP,

PHP,

sht,

adb,

mbx,

eml,

pmr,

fpt,

inb

会自动避免感染包含下列字符的email

地址:

yaho,

Google,

win,

use,

info,

help,

admi,

webm,

micro,

MSN,

hotm,

suppor,

syman,

viru,

trend,

secur,

panda,

cafee,

sopho,

kasper

病毒也会从注册表中和Wab文件中检索邮件联系人

病毒搜到的信息会保存在注册表中:

HKLM\Software\Microsoft\Wxp4

如:

t2 = "Java2d-interest@sun.com" --这就是搜到的email地址

mA = "C:\WINNT\regedit.exe" --这是病毒打开的文件

病毒通过向上面搜到的邮件地址发送带毒邮件来进行传播,内容随机,附件即是病毒

病毒的清除法:

使用光华反病毒软件,彻底删除。

病毒演示:

病毒FAQ:

Windows下的PE病毒。

发现日期:

2004-12-15

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
 
© 2005- 王朝網路 版權所有 導航