Worm.Zafi.e

病毒别名：

处理时间：2005-09-26

威胁级别：★★

中文名称：灾飞

病毒类型：蠕虫

影响系统：Win 9x/ME,Win 2000/NT,Win XP,Win 2003

病毒行为:

这是一个通过邮件传播的蠕虫病毒，该病毒会搜索用户机器上的邮箱地址，向其发送带有诱惑性词语的病毒邮件，诱使用户打开。用户运行后，会弹出一个对话框文件不能运行的对话框，以麻痹用户。

1.生成文件：

C:WINNTsystem322750701425Z.dll

C:WINNTsystem327014272175Z.dll

C:WINNTsystem327365045125Z.dll

C:WINNTsystem3210811866075Z.dll

C:WINNTsystem3212027507015Z.dll

C:WINNTsystem3217108118665Z.dll

C:WINNTsystem3236504512025Z.dll

C:WINNTsystem3250451202755Z.dll

C:WINNTsystem3266073650455Z.dll

C:WINNTsystem3272171081185Z.dll

C:WINNTsystem3275070142725Z.dll

C:WINNTsystem32Symantec_Update-77443.exe

2.改变文件，用病毒体替换以下文件：

"Divx Player 7.0.exe"

"Adobe Acrobat 8.0.exe"

3.添加注册表，使病毒开机运行：

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

__ZF5

Symantec_Update-77443.exe

4.添加以下注册表：

HKEY_LOCAL_MACHINESOFTWAREMicrosoft\__ZF5

gD

5.病毒添加为服务：

Windows Firewall/Internet Connection Sharing (ICS)

6.互斥体："__ZF5"

7.修改下面的键值：

"HKLMSoftwareMicrosoftSecurity CenterMonitoring\%soft%"

"DisableMonitoring"

中%soft%为以下：

KasperskyAntiVirus

McAfeeAntiVirus

PandaAntiVirus

SophosAntiVirus

SymantecAntiVirus

TrendAntiVirus

8。弹出对话框：

"Windows has blocked access to this image."

9。结束以下进程：

'Luall.exe',

'nod32.exe'

'gcasDtServ.exe',

'nod32krn.exe',

'nod32kui.exe',

'AVLTMAIN.EXE',

'MRT.exe',

'gcasServ.exe',

'avginet.exe',

'inetupd.exe'

'fpavupdm.exe',

'Updater.exe',

'pcclient.exe',

'F-StopW.exe',

'drwebupw.exe',

'QH32.EXE',

'QHM32.EXE',

'LIVEUP.exe',

'savmain.exe',

'savprogess.exe',

'nod32.exe',

'bdmcon.exe',

'bdlite.exe',

'McUpdate.exe',

'mcmnhdlr.exe',

'VBInstTmp.exe',

'vbcmserv.exe',

'vbcons.exe',

'fspex.exe',