病毒別名
W32.Erkez.A@mm【NAV】, I-Worm.Zafi【AVP】,W32/Zafi@MM【McAfee】, W32/Zafi-A【Sophos】, WORM_ZAFI.A【Trend】, Win32.Zafi.A【CA】
處理時間:2004-04-27
威脅級別:★★
中文名稱:災飛
病毒類型:蠕蟲
影響系統:Win9x/ WinNT
病毒行為
這是一個通過傳送帶毒郵件感染計算機的蠕蟲病毒。
1.病毒拷貝自己到系統目錄:%System%<隨機檔案名稱>.exe。其中"隨機檔案名稱"表示一個隨機的8位字元的檔案名稱。同時,它還會在同一目錄下創建以.dll為後綴的文本檔案。
2.在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
下添加如下子鍵:
"Hazafi"
以保存該蠕蟲的配置信息。
在註冊表主鍵:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下鍵值:
"<隨機字元串>" = "%system%\<隨機檔案名稱>.exe"
以便該病毒在每次重啟 Windows 時運行。
3.病毒試圖結束以下進程:
dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe
4.病毒從IE歷史記錄資料夾中隨機選擇一個最近敲入的URL,並用IE打開。
5.如果系統時間為2004年5月1日,那么病毒會顯示如下一段匈牙利語的文字:
Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan,
s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember millios
vagyonokra tesz szert, mitsem torodve velunk. Latszat emberek iranyitanak, kik
emelik fizetesunk, s ketszer annyi adot vonnak le, kik igazsagszolgaltatasrol
regelnek, mikor a bunozoket es a novekvo agressziot vedik torvenyeikkel, kik inkabb
Forma1-re pocsekoljak a penzt, mialatt hajlektalanok halnak meg naponta utcainkon,
s korhazi betegek szenvednek szukseges muszerek nelkul.
Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre
mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!!
Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot,
tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!
== HAZAFI == /Pecs,2004, (SNAF Team)/
6.病毒通過連線http://www.google.com來檢查Internet連線是否有效。
7.病毒從具有以下後綴名的檔案中搜尋Email地址:
.htm
.wab
.txt
.dbx
.tbb
.asp
.php
.sht
.adb
.mbx
.eml
.pmr
並將其搜尋到的Email的地址保存在它此前創建的以.dll為後綴的文本檔案中。
8.向搜尋到的Email地址傳送郵件
其傳送的郵件具有以下特徵:
發件人為以下字元串中的一個:
<具有迷惑性的字元串>
[email protected]主題:
kepeslap erkezett!
正文:
Tisztelt felhasználó!
?nnek kópeslapja órkezett!
A kópeslap feladója: A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=psp4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellókelt internetlink kattintásával.
üdv?zlettel: Matav e-card!
http//www.netezz.matav.hu/
附屬檔案:
link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com
但是病毒不對含有以下字元串的Email地址傳送郵件:
microsoft
vir
trendmicro
avp
f-prot
hotmail
gov
anti
panda
norton
9.如果系統時間為4月,那么病毒將中止自己的運行。
