Worm.Zafi.a

病毒别名：W32.Erkez.A@mm[NAV], I-Worm.Zafi[AVP]，W32/Zafi@MM[McAfee], W32/Zafi-A[Sophos], WORM_ZAFI.A[Trend], Win32.Zafi.A[CA]

处理时间：2004-04-27

威胁级别：★★

中文名称：灾飞

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

这是一个通过发送带毒邮件感染计算机的蠕虫病毒。

1.病毒拷贝自己到系统目录：%System%<随机文件名>.exe。其中"随机文件名"表示一个随机的8位字符的文件名。同时，它还会在同一目录下创建以.dll为后缀的文本文件。

2.在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

下添加如下子键：

"Hazafi"

以保存该蠕虫的配置信息。

在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下键值：

"<随机字符串>" = "%system%<随机文件名>.exe"

以便该病毒在每次重启 Windows 时运行。

3.病毒试图结束以下进程：

dfw.exe

fsav32.exe

fsbwsys.exe

fsgk32.exe

fsm32.exe

fssm32.exe

fvprotect.exe

mcagent.exe

navapw32.exe

navdx.exe

navstub.exe

navw32.exe

nc2000.exe

ndd32.exe

netarmor.exe

netinfo.exe

netmon.exe

nmain.exe

nprotect.exe

ntvdm.exe

ostronet.exe

outpost.exe

pccguide.exe

pcciomon.exe

regedit.exe

regedit32.exe

taskmgr.exe

tnbutil.exe

vbcons.exe

vbsntw.exe

vbust.exe

vsmain.exe

vsmon.exe

vsstat.exe

winlogon.exe

zonalarm.exe

4.病毒从IE历史记录文件夹中随机选择一个最近敲入的URL，并用IE打开。

5.如果系统时间为2004年5月1日，那么病毒会显示如下一段匈牙利语的文字：

Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan,

s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember millios

vagyonokra tesz szert, mitsem torodve velunk. Latszat emberek iranyitanak, kik

emelik fizetesunk, s ketszer annyi adot vonnak le, kik igazsagszolgaltatasrol

regelnek, mikor a bunozoket es a novekvo agressziot vedik torvenyeikkel, kik inkabb

Forma1-re pocsekoljak a penzt, mialatt hajlektalanok halnak meg naponta utcainkon,

s korhazi betegek szenvednek szukseges muszerek nelkul.

Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre

mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!!

Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot,

tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!

== HAZAFI == /Pecs,2004, (SNAF Team)/

6.病毒通过连接http://www.google.com来检查Internet连接是否有效。

7.病毒从具有以下后缀名的文件中搜索Email地址：

.htm

.wab

.txt

.dbx

.tbb

.asp

.php

.sht

.adb

.mbx

.eml

.pmr

并将其搜索到的Email的地址保存在它此前创建的以.dll为后缀的文本文件中。

8.向搜索到的Email地址发送邮件

其发送的邮件具有以下特征：

发件人为以下字符串中的一个：

<具有迷惑性的字符串>

kepeslapok@meglep.hu

主题：

kepeslap erkezett!

正文：

Tisztelt felhasználó!

?nnek kópeslapja órkezett!

A kópeslap feladója: A lapot az alábbi cimen tudja megtekinteni:

http//matav.hu/viewcard/index=psp4uo5683535GSb0123fhhf578840f0623cv2

vagy a mellókelt internetlink kattintásával.

üdv?zlettel: Matav e-card!

http//www.netezz.matav.hu/

附件：

link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com

但是病毒不对含有以下字符串的Email地址发送邮件：

microsoft

vir

trendmicro

avp

f-prot

hotmail

gov

anti

panda

norton

9.如果系统时间为4月，那么病毒将中止自己的运行。