攻击Google和微软:W32.Erekez病毒分析!
添加时间: 2005-5-15 20:43:04 作者: 网络快讯 阅读次数:87 来源: http://www.d9soft.com
W32.Erekez.C @mm
该病毒通过在受感染计算机使用自带的SMTP引擎大规模发送邮件进行传播,并将自身拷贝到类似网络中共享的文件夹中。
当它开始发作时,它会尝试去覆写.exe文件,这些可执行文件通常都是安全类产品,包括诺顿等大家广泛使用的国外厂商产品。
其他名称:W32/Zafi.c @MM[McAfee], Zafi.C [F-Secure], W32/Zafi.C.worm [Panda], I-Worm.Zafi.c [Kaspersky]
病毒类型:蠕虫
病毒长度:15,993字节
受影响系统:Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
风险指数:低
破坏指数:中
感染指数:高
病毒分析:
1,创建如下文件:
%System%\svchost.com
%System%\svchost.con
2,在系统文件夹下创建名为svchost.coX(X为随机数字)
3,在如下注册表项中:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
添加如下键值:
"_svchost.con"="%System%\svchost.com"
以方便病毒在启动Windows时同时自动启动。
4,创建存储病毒信息的注册表条目:
HKEY_LOCAL_MACHINE\Software\Microsoft\UpdateZ3
5,修改如下注册表项:
KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile
的如下键值:
"DisableNotifications" = "1"
"EnableFirewall" = "0"
"DoNotAllowExceptions" = "0"
6,修改如下注册表项:
HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
中的如下键值:
"AntiVirusDisableNotify" = "1"
"FirewallDisableNotify" = "1"
"UpdatesDisableNotify" = "1"
"AntiVirusOverride" = "1"
"FirewallOverride" = "1"
7,创建如下日志文件:
C:\tm.txt
8,禁止用户运行包含如下字符串的程序:
reged(例如:regedit将无法使用)
msconfig(此为Windows配置实用程序)
task(任务管理器:taskmanager将无法使用)
9,病毒会搜索计算机内所有文件和文件夹,以查找出所有防/杀病毒程序文件和文件夹:
·当查到安全程序执行文件时,将自身拷贝并覆盖该文件
·当查到安全程序所在的文件夹时,将该文件夹及其子目录下所有可执行文件覆盖。
10,搜索类似网络共享的文件夹,查找从C到H的所有盘符中包含“share”或“upload”或“downlo”字符串的文件夹。
将自身拷贝到搜索到的文件夹中,有可能是下面的文件名:
·Install_AIM.exe
·uninstall.exe
·doom3 keygen.exe(晕,又是玩游戏迷来的???)
上一篇文章: “就不让你用google”Netsky变种分析 下一篇文章: 2004病毒和反病毒技术的发展综述
相关文章: