Email-Worm.Win32.Zafi.b
病毒名称: Email-Worm.Win32.Zafi.b
病毒类型: 邮件蠕虫
危害等级: 高
文件长度: 12,803 字节
感染系统: Windows 9x以上的系统
开发工具: Visual C++
加壳类型: FSG
病毒描述:
该病毒通过邮件传播,为感染 ]pe 格式的病毒。在 %system32% 下复制自身,病毒名为随机的八个字符。同时在此目录下生成 11 个动态连接库文件。病毒搜索下列固定硬盘。添加计划任务,达到随系统启动的目的。搜索某些扩展名的文件。遍历系统进程,终止网络天空的进程。控制 regedit.exe 等进程,使系统无法调用。
行为分析:
1 、创建互斥体 "_Hazafibb"
2 、修改注册表,添加键值,键值不定,为随机字符 HKEY_LOCAL_MACHINESoftwareMicrosoft\_Hazafibb
3 、 检查系统进程中是否有网络天空的进程 jammer2nd.exe 和 fvprotect.exe ,若存在则将其终止,并删除该病毒的文件。
4 、 占用如下程序使其他进程无法调用: mstask.exe , regedit.exe , taskman.exe , taskmgr.exe
5 、 默认遍历 c、d、e、f、g、h 盘,寻找扩展名为 htm、wab、txt、dbx、tbb、asp 、 php 、 sht 、 adb 、 mbx 、 eml 、 pmr 、 fpt 、 inb 的文件,搜索其中的 email 地址并发邮件。会自动避免感染包含下列字符的 email 地址: yaho 、 google 、 win 、 use 、 info、 help 、 admi 、 webm 、 micro 、 msn 、 hotm 、 suppor 、 syman 、 viru 、 trend 、 secu 、 panda 、 cafee 、 sopho 、 kasper
6 、 在 %system32% 下复制病毒体,并释放十一个动态连接库文件 ,文件名为随机的八个字符,其中一个为病毒体。
7 、添加计划任务启动自身,纪录在 %system32% 下生成 SchedLgU.Txt 文件中,同时复制该文件到系统盘根目录下 sys.txt 。