概要
2004年12月15日,離2004年聖誕節還有10天,以祝賀聖誕名義在網上大肆傳播的病毒被江民反病毒中心截獲。該病毒系“災飛”蠕蟲最新變種I-Worm/Zafi.d。病毒在計算機上搜尋電子郵件地址,利用其自帶的SMTP引擎通過傳送帶毒電子郵件,並以不同國家的語言向外傳送主題為“聖誕節快樂”的病毒檔案,以誘惑人們點擊。病毒還會在感染電腦上開啟後門連線埠,通過P2P工具傳播。
病毒運行後,在C糟根目錄下創建c:\s.cm,在系統檔案下創建norton update.exe和一個.dll檔案。顯示一檔案出錯對話框,修改註冊表添加啟動項,以使自己與Windows同時啟動。病毒還會將自身複製到名字包含"shar"字樣的資料夾中,同時嘗試終止註冊表編輯器、Msconfig、任務管理器和多種防毒軟體進程,並嘗試連線微軟網站microsoft.com。病毒還會感染機器上開啟後門連線埠8181,接收黑客命令。
最後,在計算機上蒐集電子郵件地址,保存在%SystemDir%\【隨機8字元名稱】.dll檔案中,並利用其自帶的SMTP引擎傳送帶毒電子郵件。
病毒傳送的郵件特徵如下:
發信人:<偽造>
主題:下列之一:
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
正文為不同國家語言版本的聖誕快樂的祝賀語。
附屬檔案:就是病毒體,擴展名可能為bat, cmd, com, pif, zip。
江民反病毒專家提醒用戶,請您在收到符合上述描述的電子郵件時千萬不要點擊運行附屬檔案程式,並立即升級KV系列防毒軟體到12月15日病毒庫,即可全面查殺該病毒,保護您的系統不受其侵害。
江民反病毒專家介紹,以祝賀聖誕的名義傳播自己的病毒並非首次被發現,早在2000年聖誕前夕,一個名為“NAVIDAD”的病毒就借祝賀聖誕節名義在網上大肆傳播,給全球電腦用戶帶來巨大損失。
針對該病毒,江民公司已由第一時間升級了病毒庫,並公布了病毒技術分析報告,請廣大電腦用戶立即升級KV系列防毒軟體病毒庫,開啟病毒實時監控,防禦病毒於系統之外。
