当前位置：早雪网 → 网络学院 → 黑客攻防 → 病毒分析 → 灾飞”变种（Worm.Zafi.d）病毒分析报告

灾飞”变种（Worm.Zafi.d）病毒分析报告

减小字体

增大字体作者：未知来源：从互联网收集整理并转载发布时间：2005-2-19 0:00:15

转自：http://www.coolersky.com

病毒名称：“灾飞”变种（I-Worm/Zafi.d）
    病毒别名：W32.Erkez.D@mm[诺顿]
               WORM_ZAFI.D[趋势]
               Email-Worm.Win32.Zafi.d[AVP]
    病毒类型：网络蠕虫
    病毒大小：11745字节
    传播方式：网络
    影响系统：Win9x / WinNT
    病毒行为：
    该蠕虫通过邮件和网络共享进行传播。病毒将自己伪装为圣诞节电子贺卡，发给找到的电子邮箱地址中。病毒还将自己伪装为新版的聊天工具 ICQ 2005 或音频播放软件 winamp 5.7 放到共享目录中，诱使用户打开。用户运行后，会弹出一个对话框故意报告压缩包损坏，以麻痹用户。病毒会在感染机器上开启一个后门，供远程黑客控制。
    病毒发送的邮件：

    运行后，弹出欺骗性对话框：

    1、病毒生成以下文件

%System%\Norton Update.exe （病毒本身）
%System%\%8位随机字母%.dll （保存找到的邮件地址）
%System%\%8位随机字母%.dll （大小11873 自身的压缩包）
C:\s.cm （日志文件）

2、查找有shar字符的目录，并复制自身为以下文件名之一：

winamp 5.7 new!.exe
ICQ 2005a new!.exe

3、在注册表中添加启动键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Wxp4" = "%System%\Norton Update.exe"

这样可以在每次开机时自动运行，文件名伪装为 Norton 的升级程序。
4、将自身一些信息保存到注册表中的如下键内：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

    5、尝试通过80端口连接 microsoft.com 网站
    6、创建互斥量：
    Wxp4
    保证只有一个进程运行
    7、终止含有以下字符的进程

reged
msconfig
task
syman
viru
trend
secur
panda
cafee
sopho
kasper

    这样注册表管理器、任务管理器、MS配置程序、杀毒软件都无法运行，给清除病毒带来不便。
    8、开启 TCP8181 端口，作为后门
    9、从以下扩展名文件中查找可能的电子邮件地址：

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

10、如果找的电子邮件地址有以下字符，则不发送：

yaho
google
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

11、病毒邮件的主题为以下之一：

Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

12、邮件内容为：

:) %发件人名称%
_blank>http://%邮箱域名%/附件名.%jpg或gif%%随机4位数字% - Picture Size: 11 KB, Mail: +OK

13、附件为病毒，其扩展名可能为以下之一：

.bat
.cmd
.com
.pif
.zip

    参考：
    江民：_sys/news/jiangmin/index/important/20041215163250.htm" target=_blank>http://www.jiangmin.com/exec/news_sys/news/jiangmin/index/important/20041215163250.htm
    金山：_blank>http://vi.db.kingsoft.com/virus.php?fid=1638

Tags：变种,Worm,Zafi,病毒,分析,报告

[数据载入中...] [返回上一页] [打印]

·分析称下一代iPod整合无线广播功能

·10月13日病毒警报：鸽子归来当心游戏帐号

·教你遭遇另类无法删除病毒的处理办法

·[图文]QQ病毒的克星---QQAV的下载使用 QQ病毒，克星，QQAV，下载...

·盗取QQ2004密码病毒出现！盗取 QQ2004 密码病毒出现！ [QQ安全...

·[图文]QQ病毒的克星--QQAV QQ,病毒,克星,QQAV [QQ安全]

·[图文]QQ病毒专杀工具 QQ,病毒,专杀,工具 [QQ安全]

·“QQ尾巴”病毒清除和预防 [QQ安全]

·利用Hosts文件防止QQ病毒利用,Hosts文件,防止,QQ,病毒 [QQ安全]...

·QQ号码被盗原因及案例分析 QQ,号码,被盗,原因,案例,分析 [QQ安全...