Email-Worm.Win32.Zafi.b

該病毒通過郵件傳播,為感染 ]pe 格式的病毒。在 %system32% 下複製自身,病毒名為隨機的八個字元。同時在此目錄下生成 11 個動態連線庫檔案。病毒搜尋下列固定硬碟。添加計畫任務,達到隨系統啟動的目的。搜尋某些擴展名的檔案。遍歷系統進程,終止網路天空的進程。控制 regedit.exe 等進程,使系統無法調用。

基本介紹

  • 外文名:Email-Worm.Win32.Zafi.b
  • 病毒類型: 郵件蠕蟲
  • 危害等級: 高
  • 檔案長度: 12,803 位元組
簡介,行為分析,

簡介

病毒名稱: Email-Worm.Win32.Zafi.b
病毒類型: 郵件蠕蟲
危害等級: 高
檔案長度: 12,803 位元組
感染系統: Windows 9x以上的系統
開發工具: Visual C++
加殼整罪才船類型: FSG

行為分析

1 、創建互斥體 "_Hazafibb"
2 、修改註冊表,添加鍵值,鍵值不定,為隨機字元 HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb
3 、 檢查系統進程中是否有網路天空的進程 jammer2nd.exe 和 fvprotect.exe ,若存在則將其終止,並刪除該病毒的檔案。
4 、 占用如下程式使其他進程無法調用: mstask.exe , regedit.exe , taskman.exe , taskmgr.exe
5 、 默認遍歷 c、d、e、f、烏甩厚g、h 盤,尋找擴展名為 htm、wab、txt、dbx、tbb、asp 、 php 、 sht 、戲宙夜 adb 、 mbx 、 eml 、 pmr 、 fpt 、 inb 的檔案,搜尋其中的 email 地址並發郵件。會自動避免感巴酷染包含下列字元的 email 地禁少諒址: yaho 、酷訂格 google 、 win 、 use 、 info、 help 、 admi 、 webm 、 micro 、 msn 、 hotm 、 suppor 、 syman 、 viru 、 trend 、 secu 、 panda 、 cafee 、 sopho 、 kasper
6 、 在 %system32% 下複製病毒體,並釋放十一個動態連線庫檔案 ,檔案名稱為隨機臘永束檔的八個字元,其中一個為病毒體。
7 、添加計畫任務啟動自身,紀錄在 %system32% 下生成 SchedLgU.Txt 檔案中,同時複製該檔案到系統盤根目錄下 sys.txt 。

相關詞條

熱門詞條

聯絡我們