灾飞”变种(Worm.Zafi.d)病毒分析报告
转自:http://www.coolersky.com
病毒名称:“灾飞”变种(I-Worm/Zafi.d)
病毒又名:W32.Erkez.D@mm[诺顿]
WORM_ZAFI.D[趋势]
Email-Worm.Win32.Zafi.d[AVP]
病毒范例:网络蠕虫
病毒巨细:11745字节
流传方法:网络
影响体系:Win9x / WinNT
病毒行为:
该蠕虫通过邮件和网络共享举行流传。病毒将自己伪装为圣诞节电子贺卡,发给找到的电子邮箱地点中。病毒还将自己伪装为新版的谈天工具 ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱利用户翻开。用户运转后,会弹出一个对话框故意陈诉紧缩包损坏,以麻痹用户。病毒会在感染呆板上开启一个后门,供远程黑客控制。
病毒发送的邮件:
运转后,弹出欺骗性对话框:
1、病毒天生以下文件
%System%\Norton Update.exe (病毒自己)
%System%\%8位随机字母%.dll (生存找到的邮件地点)
%System%\%8位随机字母%.dll (巨细11873 自身的紧缩包)
C:\s.cm (日志文件)
2、查找有shar字符的目录,并复制自身为以下文件名之一:
winamp 5.7 new!.exe
ICQ 2005a new!.exe
3、在注册表中添加启动键值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Wxp4" = "%System%\Norton Update.exe"
如许可以在每次开机时主动运转,文件名伪装为 Norton 的升级步伐。
4、将自身一些信息生存到注册表中的如下键内:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
5、尝试通过80端口连接 microsoft.com 网站
6、创立互斥量:
Wxp4
包管只要一个进程运转
7、停止含有以下字符的进程
reged
msconfig
task
syman
viru
trend
secur
panda
cafee
sopho
kasper
如许注册表管理器、任务管理器、MS配置步伐、杀毒软件都无法运转,给扫除病毒带来不便。
8、开启 TCP8181 端口,作为后门
9、从以下扩展名文件中查找可能的电子邮件地点:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
10、要是找的电子邮件地点有以下字符,则不发送:
yaho
google
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper
11、病毒邮件的主题为以下之一:
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
12、邮件内容为:
:) %发件人名称%
http://%邮箱域名%/附件名.%jpg或gif%%随机4位数字% - Picture Size: 11 KB, Mail: +OK
13、附件为病毒,其扩展名可能为以下之一:
.bat
.cmd
.com
.pif
.zip
参考:
江民:http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/20041215163250.htm
金山:http://vi.db.kingsoft.com/virus.php?fid=1638
- 文章作者: 福州军威计算机技术有限公司
军威网络是福州最专业的电脑维修公司,专业承接福州电脑维修、上门维修、IT外包、企业电脑包年维护、局域网网络布线、网吧承包等相关维修服务。
版权声明:原创作品,允许转载,转载时请务必以超链接形式标明文章原始出处 、作者信息和声明。否则将追究法律责任。
TAG:
|
评论加载中...
|
