I-Worm/Zafi

王朝百科·作者佚名 2010-01-30

宽屏版字体: 小 | 中 | 大 | 超大

I-Worm/Zafi

病毒长度：

病毒类型：网络蠕虫

危害等级：**

影响平台：Win9X/2000/XP/NT/Me/2003

I-Worm/Zafi是一个群发邮件蠕虫，发送自身到从感染病毒的计算机上找到的所有邮件地址。

传播过程及特征：

1.如果计算机时间为2004年5月1号，将显示下列匈牙利文字：

Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan,

s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember

millios vagyonokra tesz szert, mitsem torodve velunk.

Latszat emberek iranyitanak, kik emelik fizetesunk, s ketszer annyi adot vonnak le,

kik igazsagszolgaltatasrol regelnek, mikor a bunozoket es a novekvo agressziot vedik

torvenyeikkel, kik inkabb Forma1-re pocsekoljak a penzt, mialatt hajlektalanok

halnak meg naponta utcainkon, s korhazi betegek szenvednek szukseges muszerek nelkul.

Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre

mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!!

Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot,

tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!

== HAZAFI == /Pecs,2004, (SNAF Team)/

如果计算机时间不是4月那么它将结束自身。

2.在系统目录下复制自身为<随机的8个字符>.exe同时生成同名的.dll文件。

3.修改注册表：

生成子键：HKEY_LOCAL_MACHINESOFTWAREMicrosoftHazafi -- 存贮蠕虫的配置信息；

添加键值："<任意值>"="%system%<任意文件名>.exe"到注册表HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun下。

4.利用连接http:/ /www.google.com站点来检查动态网络连接。

5.结束下列进程：

dfw.exe

fsav32.exe

fsbwsys.exe

fsgk32.exe

fsm32.exe

fssm32.exe

fvprotect.exe

mcagent.exe

navapw32.exe

navdx.exe

navstub.exe

navw32.exe

nc2000.exe

ndd32.exe

netarmor.exe

netinfo.exe

netmon.exe

nmain.exe

nprotect.exe

ntvdm.exe

ostronet.exe

outpost.exe

pccguide.exe

pcciomon.exe

regedit.exe

regedit32.exe

taskmgr.exe

tnbutil.exe

vbcons.exe

vbsntw.exe

vbust.exe

vsmain.exe

vsmon.exe

vsstat.exe

winlogon.exe

zonalarm.exe

6.从IE历史记录中随机选择一个URL用IE打开。

7.在下列类型的文件中搜索合法的邮件地址：

.htm ，.wab ，.txt ，.dbx ，.tbb ，.asp ，.php ，

.sht ，.adb ，.mbx ，.eml ，.pmr

避免向包含下列字符串的地址发送邮件：

microsoft ，vir ，trendmicro ，avp ，f-prot ，

hotmail， gov ，anti ，panda ，norton

发送的邮件特征：

发件人：伪造或kepeslapok@meglep.hu

主题：kepeslap erkezett!

附件: link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com

注：%Windir%为变量，一般为C:Windows 或 C:Winnt；

%System%为变量，一般为C:WindowsSystem (Windows 95/98/Me),

C:WinntSystem32 (Windows NT/2000), 或

C:WindowsSystem32 (Windows XP)。