本文章所属钓区:其他(6352) 本主题文章来自原老网社区(后台)『 电脑与网络 』,原作者是 大小统杀,因数据合并原因可能与原作者不符,特此说明。 |
国家计算机病毒应急处理中心通过对互联网的监测,发现病毒Worm_Zafi.d。该蠕虫通过邮件和网络共享进行传播,并将自己伪装
为圣诞节电子贺卡,发给用户。病毒还将自己伪装为新版的聊天工具
ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中,诱使用
户打开。用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻
痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。
病毒名称:Worm_Zafi.D
其他病毒名:W32/Zafi.d@MM (McAfee)
W32.Erkez.D@mm(Symantec)
WORM_ZAFI.D(Trend Micro)
Worm.Zafi.d(金山)
I-Worm.Zafi.d(瑞星)
I-Worm/Zafi.d(江民)
感染系统:Windows 2000, Windows 98, Windows Me, Windows NT,
Windows XP
病毒特征:
1、生成病毒文件
病毒运行后在%System%目录下生成Norton Update.exe和C:\s.cm。
(其中,%System%为系统文件夹,在默认情况下,在Windows 95/98/Me
中为 C:\Windows\System、在Windows NT/2000中为C:\Winnt\System32、
在Windows XP中为C:\Windows\System32)
病毒还会将自己复制在%System%目录下,名为{随机字符}.dll 文件。
病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本,副本名
称为:winamp 5.7 new!.exe 、ICQ 2005a new!.exe。
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\CurrentVersion\Run中添加值"Wxp4" = "%System%\Norton Update.exe"。这样可以在每次开机时自动运行,文件
名伪装为 Norton 的升级程序。
同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。
3、通过电子邮件传播
病毒电子邮件特征如下:
主题:(为下列名称之一)
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
正文:(为以下之一)
Happy HollyDays!
:) [Sender]
Kellemes Unnepeket!
:) [Sender]
Feliz Navidad!
:) [Sender]
:) [Sender]
Glaedelig Jul!
:) [Sender]
God Jul!
:) [Sender]
God Jul!
:) [Sender]
Iloista Joulua!
:) [Sender]
Naulieji Metai!
:) [Sender]
Wesolych Swiat!
:) [Sender]
Fröhliche Weihnachten!
:) [Sender]
Prettige Kerstdagen!
:) [Sender]
Veselé Vánoce!
:) [Sender]
Joyeux Noel!
:) [Sender]
Buon Natale!
:) [Sender]
附件:(包含以下扩展名之一的随机文档名)
.bat
.cmd
.com
.pif
.zip
4、病毒运行
当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。病毒在运行的时候会显示如下消息框:
为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:
msconfig
reged
task
5、后门功能
该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。
手工清除病毒:
1、 结束病毒进程
打开Windows任务管理器,在 Windows 95/98/ME 系统上, 按下
CTRL+ALT+DELETE
在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签
在运行的程序列表中,找到下面的进程:NORTON UPDATE.EXE ,结束该进程,即可。
2、删除病毒文件
右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。 在名称输入框中,输入:Norton Update.exe和s.cm ,找到文件然后选择删除。
3、修改注册表
打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,找到右侧面板中"Wxp4" = "%System%\Norton Update.exe",并将其删除。
依次双击左边的面板,双击并删除下面的项目
HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4
国家计算机病毒应急处理中心
计算机病毒防治产品检验中心
网 址:Http://www.antivirus-China.org.cn
电话:022-66211488/66211489/66211490 转 8017
传真:022-66211487
电子邮件:sos@antivirus-China.org.cn
security@tj.cnuninet.net
|
|
本主题相关历史评论如下: ------------------------------ 30114、2004-12-22 22:54:00 gg6692 发表如下评论: 谢了!!! ------------------------------ 本文地址:http://bbs.oldfisher.com/show_i48269.html 本文章由oldfisher于2006-2-8 0:00:12最后编辑过
|
bbs_oldfisher于2004-12-21 12:15:00
原创
发布 阅读指数:717〖大 中 小〗〖关闭〗
