澳洲、新西兰新闻·旅游·生活·资讯大全。新西兰房地产。Information network of Australia and New Zealand, Study and Living in Australia and New Zealand. New Zealand Properties.
彩虹摄影

Buy me a coffee 给我买杯咖啡

首页 > 科技频道

伪装为圣诞电子贺卡的新蠕虫病毒Worm_Zafi露面

   人气:     日期: 2004/12/19



    国家计算机病毒应急处理中心通过对互联网的监测,发现通过邮件和网络共享进行传播的新蠕虫病毒Worm_Zafi.d.

据了解,该病毒将自己伪装成圣诞节电子贺卡发给用户,还将自己伪装为新版的聊天工具ICQ2005或音频播放软winamp5.7放到共享目录中,诱使用户打开。

用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。

病毒名称:Worm_Zafi.D

其他病毒名:

W32/Zafi.d@MM (McAfee)

W32.Erkez.D@mm(Symantec )

WORM_ZAFI.D(Trend Micro)

Worm.Zafi.d(金山)

I-Worm.Zafi.d(瑞星)

I-Worm/Zafi.d(江民)

感染系统:Windows2000,Window98,Windows Me,Windows NT, Windows XP

病毒特征:

1、生成病毒文件

病毒运行后在%System%目录下生成Norton Update.exe和C:s.cm.(其中,%System%为系统文件夹,在默认情况下,在Windows 95/Me中为C:WindowsSystem,在Windows NT/2000中为C:WinntSystem32,在Windows XP中为C:WindowsSystem32)

病毒还会将自己复制在%System%目录下,名为{随机字符}.dll 文件。病毒还会试图在任何包含字符“shar”的文件夹中建立本身的副本,副本名称为:winamp5.7new!。exe、ICQ2005a new!。exe.

2、修改注册表项

病毒创建注册表项,使得自身能够在系统启动时自动运行,在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中添加值 “Wxp4”=“%System%Norton Update.exe”。这样可以在每次开机时自动运行,文件名伪装为Norton的升级程序。

同时,病毒还会在HKEY_LOCAL_MACHINESOFTWAREMicrosoft中添加Wxp4,把自身一些信息保存到注册表中的该键内。

3、通过电子邮件传播

病毒电子邮件特征如下:

主题:为下列名称之一

Merry Christmas!

boldog karacsony……

Feliz Navidad!

ecard.ru

Christmas Kort!

Christmas Vykort!

Christmas Postkort!

Christmas postikorti!

Christmas - Kartki!

Weihnachten card.

Prettige Kerstdagen!

Christmas pohlednice

Joyeux Noel!

Buon Natale!

正文:(为以下之一)

Happy HollyDays!

:) [Sender]

Kellemes Unnepeket!

:) [Sender]

Feliz Navidad!

:) [Sender]

:) [Sender]

Glaedelig Jul!

:) [Sender]

God Jul!

:) [Sender]

God Jul!

:) [Sender]

Iloista Joulua!

:) [Sender]

Naulieji Metai!

:) [Sender]

Wesolych Swiat!

:) [Sender]

Fr?hliche Weihnachten!

:) [Sender]

Prettige Kerstdagen!

:) [Sender]

VeseléVánoce!

:) [Sender]

Joyeux Noel!

:) [Sender]

Buon Natale!

:) [Sender]

附件:(包含以下扩展名之一的随机文档名)

。bat

。cmd

。com

。pif

。zip

4、病毒运行

当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候,病毒就会开始运行。为了避免轻易被检测或清除,该病毒会结束以下名称中包含如下字符串的进程:msconfig reged task

5、后门功能

该病毒还具有后门功能,它会打开TCP端口8181,允许远程用户对具有安全漏洞的系统上载文件。

手工清除病毒:

1、结束病毒进程

打开Windows任务管理器,在 Windows95/98/ME 系统上,按下CTRL+ALT+DELETE,在Windows NT/2000/XP系统上,按下CTRL+SHIFT+ESC,并点击进程标签。在运行的程序列表中,找到下面的进程:NORTON UPDATE.EXE ,结束该进程即可。

2、删除病毒文件

右击开始,点击搜索或寻找,这取决于当前运行的Windows版本。 在名称输入框中输入:Norton Update.exe和s.cm,找到文件然后选择删除。

3、修改注册表

打开注册表编辑器。点击开始->运行,输入REGEDIT,依次双击左边的面板中的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run,找到右侧面板中“Wxp4”=“%System%Norton Update.exe”,并将其删除。依次双击左边的面板,双击并删除下面的项目HKEY_LOCAL_MACHINE>Software> Microsoft>wxp4.




声明:在澳纽网频道上发表的内容是出于传递更多信息的目的,不代表本网赞同其观点或证实其内容的真实性。








上一篇:视窗SP2再现漏洞 拨号上网用户完全不设防
下一篇: IE浏览器中出现的新漏洞 可使黑客以假换真




彩虹摄影


浏览微信精选文章,免费公众号推广

感谢您对澳纽网的支持

© 2024 澳纽网 AusNZnet.com