災飛病毒(Worm.Zafi.b)

1、將自身拷貝到P2P軟體的已分享檔案夾中，檔案名稱為流行軟體的名稱，誘騙其他用

戶下載執行。

2、從系統中收集郵件地址，將病毒體作為附屬檔案隨郵件傳送出去。

破壞方法：

1、中止大量反病毒軟體，並用病毒檔案替換反病毒軟體的主程式，導致反病毒軟體

無法使用。

2、禁止用戶運行註冊表編輯器、系統配置程式和任務管理器，防止用戶手動終止病

毒進程。

3、對指網頁發起DoS攻擊。

技術特點：

1、通過打開互斥體“Hazafibb”來防止多次運行

2、拷貝自身到%System%

檔案名稱為：八個隨機字母組成的檔案名稱，擴展名分別為.exe .dll

3、會隨機建立一些長度為8個隨機字母的dll檔案

4、建立註冊表鍵值：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

4、向註冊表以下位置：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

添加

"_Hazafibb"="%system%\<random file name>.exe"

5、搜尋本地硬碟的已分享檔案夾，拷貝自身到已分享檔案夾並命名為：

winamp 7.0 full_install.exe

Total Commander 7.0 full_install.exe

6、隨機打開一個web頁面，地址從以下讀取：

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

7、通過連線下列網址來確定用戶是否聯網

www.google.com

www.microsoft.com

8、對下列地址進行dos攻擊：

www.parlament.hu

www.virusbuster.hu

www.virushirado.hu

www.2f.hu

9、禁止用戶運行下列程式：

regedit

msconfig

task

10、搜尋已知的反病毒產品並結束這些正在運行的防火牆，然後用自身覆蓋掉這些反病毒軟體的主程式。

11、從本地擴展名為以下檔案中搜尋email地址：

.htm

.wab

.txt

.dbx

.tbb

.asp

.php

.sht

.adb

.mbx

.eml

.pmr

跳過為包含以下字元的email地址：

admi

cafee

google

help

hotm

info

kasper

micro

msn

panda

sopho

suppor

syma

trend

use

vir

webm

win

yaho

12、利用自己的smtp引擎向搜尋到的email地址傳送郵件，如果email的主機為以下時，信的內容為當地的語言：

.hu

.sp

.ru

.dk

.ro

.se

.no

.fi

.lt

.pl

.pt

.de

.nl

.cz

.fr

.it

.mx

.at

13、這些信件的特徵為：

發件人：The "From:" field of the email is spoofed

標題：為空

附屬檔案為：名字為隨機的字元構成，擴展名為： .com, .exe, or .pif

例如：

To: Anita

Subject: Ingyen SMS!

Attachment: "regiszt.php?3124freesms.index777.pif"

Message:

------------------------ hirdet=E9s -----------------------------

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra

indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan

korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.

K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s

lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t

a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer

felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!

------------------------ axelero.hu ---------------------------

To: Claudia

Subject: Importante!

Attachment: "link.informacion.phpV23.text.message.pif"

Message:

Informacion importante que debes conocer, -

To: Katya

Subject: oKatya

Attachment: "view.link.index.image.phpV23.sexHdg21.pif"

To: Eva

Subject: E-Kort!

Attachment: "link.ekort.index.phpV7ab4.kort.pif"

Message: Mit hjerte banker for dig!

To: Marica

Subject: Ecard!

Attachment: "link.showcard.index.phpAv23.ritm.pif"

Message:

De cand te-am cunoscut inima mea are un nou ritm

病毒運行後，在C糟根目錄下創建c:\s.cm，在系統檔案下創建norton update.exe和一個.dll檔案。顯示一檔案出錯對話框，修改註冊表添加啟動項，以使自己與Windows同時啟動。病毒還會將自身複製到名字包含"shar"字樣的資料夾中，同時嘗試終止註冊表編輯器、Msconfig、任務管理器和多種防毒軟體進程，並嘗試連線微軟網站microsoft.com。病毒還會感染機器上開啟後門連線埠8181，接收黑客命令。

最後，在計算機上蒐集電子郵件地址，保存在%SystemDir%\[隨機8字元名稱].dll檔案中，並利用其自帶的SMTP引擎傳送帶毒電子郵件。

請使用專業防毒軟體可完全處理該病毒

或病毒專殺工具。

如果裝有被保護的“復原精靈”將電腦重啟即可。