请输入您要查询的百科知识:

 

词条 Email-Worm.Win32.Zafi.b
释义

病毒名称: Email-Worm.Win32.Zafi.b

病毒类型: 邮件蠕虫

危害等级: 高

文件长度: 12,803 字节

感染系统: Windows 9x以上的系统

开发工具: Visual C++

加壳类型: FSG

病毒描述:

该病毒通过邮件传播,为感染 ]pe 格式的病毒。在 %system32% 下复制自身,病毒名为随机的八个字符。同时在此目录下生成 11 个动态连接库文件。病毒搜索下列固定硬盘。添加计划任务,达到随系统启动的目的。搜索某些扩展名的文件。遍历系统进程,终止网络天空的进程。控制 regedit.exe 等进程,使系统无法调用。

行为分析:

1 、创建互斥体 "_Hazafibb"

2 、修改注册表,添加键值,键值不定,为随机字符 HKEY_LOCAL_MACHINE\\Software\\Microsoft\\_Hazafibb

3 、 检查系统进程中是否有网络天空的进程 jammer2nd.exe 和 fvprotect.exe ,若存在则将其终止,并删除该病毒的文件。

4 、 占用如下程序使其他进程无法调用: mstask.exe , regedit.exe , taskman.exe , taskmgr.exe

5 、 默认遍历 c、d、e、f、g、h 盘,寻找扩展名为 htm、wab、txt、dbx、tbb、asp 、 php 、 sht 、 adb 、 mbx 、 eml 、 pmr 、 fpt 、 inb 的文件,搜索其中的 email 地址并发邮件。会自动避免感染包含下列字符的 email 地址: yaho 、 google 、 win 、 use 、 info、 help 、 admi 、 webm 、 micro 、 msn 、 hotm 、 suppor 、 syman 、 viru 、 trend 、 secu 、 panda 、 cafee 、 sopho 、 kasper

6 、 在 %system32% 下复制病毒体,并释放十一个动态连接库文件 ,文件名为随机的八个字符,其中一个为病毒体。

7 、添加计划任务启动自身,纪录在 %system32% 下生成 SchedLgU.Txt 文件中,同时复制该文件到系统盘根目录下 sys.txt 。

随便看

 

百科全书收录4421916条中文百科知识,基本涵盖了大多数领域的百科知识,是一部内容开放、自由的电子版百科全书。

 

Copyright © 2004-2023 Cnenc.net All Rights Reserved
更新时间:2024/12/24 4:01:14