I-Worm/Zafi.b是用FSG壓縮的群發郵件蠕蟲病毒,傳送自身到從感染計算機上找到的所有地址。
基本介紹
I-Worm/Zafi.b
影響平台:Win9X/2000/XP/NT/Me/2003
傳播過程及特徵:
1.複製自身到系統目錄下,檔案名稱為:
<8個任意字元>.exe
<8個任意字元>.dll
並在系統目錄下生成一些.dll檔案,檔案名稱為8個任意字元,用來存儲搜尋的郵件地址。
2.修改註冊表:
添加鍵值:"_Hazafibb"="%system%\<任意檔案名稱>.exe"
到註冊表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.在從C到H的硬碟下搜尋包含"share"和"upload"字樣的資料夾,並複製自身到此目錄下,檔案名稱為下列之一:
winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe
4.從註冊表HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs下任意選擇鍵值,裝載到瀏覽器的默認頁。
5.通過訪問www.google.com 和www.microsoft.com 來檢查網路動態連線情況。
6.傳送大量的HTTP GET請求,對下列網站發動DoS攻擊。
www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu
7.意圖阻止用戶運行包含regedit 、msconfig 、task 等字元的程式。
8.搜尋驅動器下所有屬於安全產品的檔案及資料夾,並作相應處理:
/如果發現的是檔案,則蠕蟲會用副本檔案進行覆蓋。
此外,它會覆蓋下列資料夾下的所有.exe檔案:
%Program Files%\Symantec
%Program Files%\Norton AntiVirus
9.在Windows地址簿里搜尋有效的郵件地址,還遍歷所有驅動器下下列類型檔案試圖發現郵件地址:
.htm .wab .txt .dbx .tbb .asp .php .sht .adb
.mbx .eml .pmr
但對於地址中包含下列字元串的予以放棄:
admi, cafee, google, help, hotm, info, kasper,
micro, msn, panda, sopho, suppor, syma, trend,
use, vir, webm, win, yaho
然後利用自帶的SMTP引擎傳送蠕蟲到上述地址,郵件發件人是偽造的,主題、正文及附屬檔案根據域名的不同而不同,並且在語言使用方面也受此影響,如果域名中包含下列列表中字元則使用本地語言,否則一律使用英語。
域名列表:
.hu、.sp、.ru、.dk、.ro、.se、.no、.fi、.lt、.pl、
.pt、.de、.nl、.cz、.fr、.it、.mx、.at
