病毒名称(中文):
灾飞D
病毒别名:
W32.Erkez.D@mm[诺顿]WORM_ZAFI.D[趋势]Email-Worm.Win3
威胁级别:
★★★☆☆
病毒类型:
蠕虫病毒
病毒长度:
11745
影响系统:
Win9xWinNT
病毒行为:
该蠕虫通过邮件和网络共享进行传播。病毒将自己伪装为圣诞节电子贺卡,发给找到的电子邮箱地址中。病毒还将自己伪装为新版的聊天工具ICQ2005或音频播放软件winamp5.7放到共享目录中,诱使用户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。
病毒发送的邮件:
运行后,弹出欺骗性对话框:
1、病毒生成以下文件
%System%\NortonUpdate.exe(病毒本身)
%System%\%8位随机字母%.dll(保存找到的邮件地址)
%System%\%8位随机字母%.dll(大小11873自身的压缩包)
C:\s.cm(日志文件)
2、查找有shar字符的目录,并复制自身为以下文件名之一:
winamp5.7new!.exe
ICQ2005anew!.exe
3、在注册表中添加启动键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Wxp4"="%System%\NortonUpdate.exe"
这样可以在每次开机时自动运行,文件名伪装为Norton的升级程序。
4、将自身一些信息保存到注册表中的如下键内:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
5、尝试通过80端口连接microsoft.com网站
6、创建互斥量:
Wxp4
保证只有一个进程运行
7、终止含有以下字符的进程
reged
msconfig
task
syman
viru
trend
secur
panda
cafee
sopho
kasper
这样注册表治理器、任务治理器、MS配置程序、杀毒软件都无法运行,给清除病毒带来不便。
8、开启TCP8181端口,作为后门
9、从以下扩展名文件中查找可能的电子邮件地址:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
10、假如找的电子邮件地址有以下字符,则不发送:
yaho
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper
11、病毒邮件的主题为以下之一:
MerryChristmas!
boldogkaracsony...
FelizNavidad!
ecard.ru
ChristmasKort!
ChristmasVykort!
ChristmasPostkort!
Christmaspostikorti!
Christmas-Kartki!
Weihnachtencard.
PrettigeKerstdagen!
Christmaspohlednice
JoyeuxNoel!
BuonNatale!
12、邮件内容为:
:)%发件人名称%
http://%邮箱域名%/附件名.%jpg或gif%%随机4位数字%-PictureSize:11KB,Mail:+OK
13、附件为病毒,其扩展名可能为以下之一:
.bat
.cmd
.com
.pif
.zip