Worm_Zafi.B是一個蠕蟲病毒。
基本介紹
- 外文名:Worm_Zafi.B
- 病類毒型:蠕蟲
- 特徵:生成病毒檔案,修改註冊表等
- 清除方法:註冊表的恢復,刪除病毒檔案
病毒名稱,感染系統,病毒特徵,清除建議,
病毒名稱
Worm_Zafi.B病毒類型:蠕蟲
感染系統
Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒特徵
1、生成病毒檔案
病毒運行後,在ystem%資料夾下生成兩個自身的拷貝,分別以.exe和.dll作為擴展名。例如:C:ystem%sdfzxcv.exe和C:ystem0ujnbgf.dll。同時,病毒在ystem%資料夾下生成一些.dll檔案,檔案名稱由8個隨機字母組成,用於存放在被感染機器上搜尋到的郵件地址。(其中,%System%在Windows95/98/Me下為C:WindowsSystem,在Windows NT/2000下為C:WinntSystem32,在Windows XP下為C:WindowsSystem32)
2、修改註冊表
病毒添加註冊表項,使得自身能夠在系統啟動時自動運行,在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下添加"_Hazafibb" =ystem%<隨機字母>.exe。例如:"_Hazafibb" =ystem%sdfzxcv.exe
3、通過電子郵件傳播
病毒在被感染計算機以下擴展名的檔案中搜尋郵件地址(adb、asp、dbx、eml、htm、mbx、php、pmr、sht、tbb、txt、wab),並使用自帶的smtp向這些地址傳送帶有病毒的電子郵件。以下為病毒郵件的一個實例:主題:Don`t worry, be happy!附屬檔案:"www.ecard.com.funny.picture.index.nude.php356.pif"內容:Hi Honey!I`min hurry, but i still love ya...(as you can see onthe picture)Bye - Bye:
病毒郵件的發信人地址可能是虛假的,附屬檔案的擴展名為.exe、.com或.pif。同時,病毒會避免向一些與反病毒相關的郵件地址傳送染毒郵件。
4、通過共享傳播
病毒可通過檔案共享傳播,它在包含字元串share或upload的資料夾下生成自身的副本,並命名為winamp7.0full_install.exe或Total Commander 7.0full_install.exe。
5、影響反病毒軟體的運行
病毒在被感染計算機中搜尋已知的一些反病毒軟體,找到此類軟體所在的資料夾後,病毒會用自身覆蓋該資料夾以及其子資料夾下的.exe檔案,導致這些程式不能正常運行。為避免通過手工方式對病毒進行清除,病毒會試圖終止包含以下字元串的進程,regedit、msconfig和task。
清除建議
1、註冊表的恢復
