“Worm.Zafi.a”的意思、由来-中文百科全书

基本信息

病毒别名：W32.Erkez.A@mm[NAV], I-Worm.Zafi[AVP]，W32/Zafi@MM[McAfee], W32/Zafi-A[Sophos], WORM_ZAFI.A[Trend], Win32.Zafi.A[CA]

处理时间：2004-04-27

威胁级别：★★

中文名称：灾飞

病毒类型：蠕虫

影响系统：Win9x / WinNT 病毒FAQ：Windows下的PE病毒。

病毒行为:

这是一个通过发送带毒邮件感染计算机的蠕虫病毒。

1.病毒拷贝自己到系统目录：%System%<随机文件名>.exe。其中"随机文件名"表示一个随机的8位字符的文件名。同时，它还会在同一目录下创建以.dll为后缀的文本文件。

2.在注册表主键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft

下添加如下子键：

"Hazafi"

以保存该蠕虫的配置信息。

在注册表主键：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run

下添加如下键值：

"<随机字符串>" = "%system%\\<随机文件名>.exe"

以便该病毒在每次重启 Windows 时运行。

3.病毒试图结束以下进程：

dfw.exe

fsav32.exe

fsbwsys.exe

fsgk32.exe

fsm32.exe

fssm32.exe

fvprotect.exe

mcagent.exe

navapw32.exe

navdx.exe

navstub.exe

navw32.exe

nc2000.exe

ndd32.exe

netarmor.exe

netinfo.exe

netmon.exe

nmain.exe

nprotect.exe

ntvdm.exe

ostronet.exe

outpost.exe

pccguide.exe

pcciomon.exe

regedit.exe

regedit32.exe

taskmgr.exe

tnbutil.exe

vbcons.exe

vbsntw.exe

vbust.exe

vsmain.exe

vsmon.exe

vsstat.exe

winlogon.exe

zonalarm.exe

4.病毒从IE历史记录文件夹中随机选择一个最近敲入的URL，并用IE打开。

5.如果系统时间为2004年5月1日，那么病毒会显示如下一段匈牙利语的文字：

Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan,

s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember millios

vagyonokra tesz szert, mitsem torodve velunk. Latszat emberek iranyitanak, kik

emelik fizetesunk, s ketszer annyi adot vonnak le, kik igazsagszolgaltatasrol

regelnek, mikor a bunozoket es a novekvo agressziot vedik torvenyeikkel, kik inkabb

Forma1-re pocsekoljak a penzt, mialatt hajlektalanok halnak meg naponta utcainkon,

s korhazi betegek szenvednek szukseges muszerek nelkul.

Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre

mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!!

Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot,

tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!

== HAZAFI == /Pecs,2004, (SNAF Team)/

6.病毒通过连接http://www.google.com来检查Internet连接是否有效。

7.病毒从具有以下后缀名的文件中搜索Email地址：

.htm

.wab

.txt

.dbx

.tbb

.asp

.php

.sht

.adb

.mbx

.eml

.pmr

并将其搜索到的Email的地址保存在它此前创建的以.dll为后缀的文本文件中。

8.向搜索到的Email地址发送邮件

其发送的邮件具有以下特征：

发件人为以下字符串中的一个：

<具有迷惑性的字符串>

kepeslapok@meglep.hu

主题：

kepeslap erkezett!

正文：

Tisztelt felhasználó!

?nnek kópeslapja órkezett!

A kópeslap feladója: A lapot az alábbi cimen tudja megtekinteni:

http//matav.hu/viewcard/index=psp4uo5683535GSb0123fhhf578840f0623cv2

vagy a mellókelt internetlink kattintásával.

üdv?zlettel: Matav e-card!

http//www.netezz.matav.hu/

附件：

link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com

但是病毒不对含有以下字符串的Email地址发送邮件：

microsoft

vir

trendmicro

avp

f-prot

hotmail

gov

anti

panda

norton

9.如果系统时间为4月，那么病毒将中止自己的运行。

清除方法

使用光华反病毒软件，彻底删除。

词条	Worm.Zafi.a
释义	基本信息病毒行为: 清除方法基本信息病毒别名：W32.Erkez.A@mm[NAV], I-Worm.Zafi[AVP]，W32/Zafi@MM[McAfee], W32/Zafi-A[Sophos], WORM_ZAFI.A[Trend], Win32.Zafi.A[CA] 处理时间：2004-04-27 威胁级别：★★ 中文名称：灾飞病毒类型：蠕虫影响系统：Win9x / WinNT 病毒FAQ：Windows下的PE病毒。病毒行为: 这是一个通过发送带毒邮件感染计算机的蠕虫病毒。 1.病毒拷贝自己到系统目录：%System%<随机文件名>.exe。其中"随机文件名"表示一个随机的8位字符的文件名。同时，它还会在同一目录下创建以.dll为后缀的文本文件。 2.在注册表主键： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft 下添加如下子键： "Hazafi" 以保存该蠕虫的配置信息。在注册表主键： HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run 下添加如下键值： "<随机字符串>" = "%system%\\<随机文件名>.exe" 以便该病毒在每次重启 Windows 时运行。 3.病毒试图结束以下进程： dfw.exe fsav32.exe fsbwsys.exe fsgk32.exe fsm32.exe fssm32.exe fvprotect.exe mcagent.exe navapw32.exe navdx.exe navstub.exe navw32.exe nc2000.exe ndd32.exe netarmor.exe netinfo.exe netmon.exe nmain.exe nprotect.exe ntvdm.exe ostronet.exe outpost.exe pccguide.exe pcciomon.exe regedit.exe regedit32.exe taskmgr.exe tnbutil.exe vbcons.exe vbsntw.exe vbust.exe vsmain.exe vsmon.exe vsstat.exe winlogon.exe zonalarm.exe 4.病毒从IE历史记录文件夹中随机选择一个最近敲入的URL，并用IE打开。 5.如果系统时间为2004年5月1日，那么病毒会显示如下一段匈牙利语的文字： Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan, s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember millios vagyonokra tesz szert, mitsem torodve velunk. Latszat emberek iranyitanak, kik emelik fizetesunk, s ketszer annyi adot vonnak le, kik igazsagszolgaltatasrol regelnek, mikor a bunozoket es a novekvo agressziot vedik torvenyeikkel, kik inkabb Forma1-re pocsekoljak a penzt, mialatt hajlektalanok halnak meg naponta utcainkon, s korhazi betegek szenvednek szukseges muszerek nelkul. Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!! Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot, tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert! == HAZAFI == /Pecs,2004, (SNAF Team)/ 6.病毒通过连接http://www.google.com来检查Internet连接是否有效。 7.病毒从具有以下后缀名的文件中搜索Email地址： .htm .wab .txt .dbx .tbb .asp .php .sht .adb .mbx .eml .pmr 并将其搜索到的Email的地址保存在它此前创建的以.dll为后缀的文本文件中。 8.向搜索到的Email地址发送邮件其发送的邮件具有以下特征：发件人为以下字符串中的一个： <具有迷惑性的字符串> kepeslapok@meglep.hu 主题： kepeslap erkezett! 正文： Tisztelt felhasználó! ?nnek kópeslapja órkezett! A kópeslap feladója: A lapot az alábbi cimen tudja megtekinteni: http//matav.hu/viewcard/index=psp4uo5683535GSb0123fhhf578840f0623cv2 vagy a mellókelt internetlink kattintásával. üdv?zlettel: Matav e-card! http//www.netezz.matav.hu/ 附件： link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com 但是病毒不对含有以下字符串的Email地址发送邮件： microsoft vir trendmicro avp f-prot hotmail gov anti panda norton 9.如果系统时间为4月，那么病毒将中止自己的运行。清除方法使用光华反病毒软件，彻底删除。
随便看	遣纪遣价遣将遣具遣决遣军遣累遣令遣流遣闷遣派遣情遣日遣散费遣散管理遣声遣施遣虱遣使会遣适遣释遣书遣暑遣戍遣唐僧