病毒名称(中文):
灾飞
病毒别名:
W32.Erkez.A@mm[NAV],I-Worm.Zafi[AVP],W32/Zafi@MM[
威胁级别:
★★☆☆☆
病毒类型:
蠕虫病毒
病毒长度:
11776
影响系统:
Win9xWinNT
病毒行为:
这是一个通过发送带毒邮件感染计算机的蠕虫病毒。
1.病毒拷贝自己到系统目录:%System%<随机文件名>.exe。其中"随机文件名"表示一个随机的8位字符的文件名。同时,它还会在同一目录下创建以.dll为后缀的文本文件。
2.在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
下添加如下子键:
"Hazafi"
以保存该蠕虫的配置信息。
在注册表主键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
下添加如下键值:
"<随机字符串>"="%system%\<随机文件名>.exe"
以便该病毒在每次重启Windows时运行。
3.病毒试图结束以下进程:
dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe
4.病毒从IE历史记录文件夹中随机选择一个最近敲入的URL,并用IE打开。
5.假如系统时间为2004年5月1日,那么病毒会显示如下一段匈牙利语的文字:
Emberek!Magyarokszazezrei,millioielneknaprol-napra,halnakehen-szomjan,
sszegenysegbenhazankban!Mikozbenjonehanyfelsoparlamentigazembermillios
vagyonokrateszszert,mitsemtorodvevelunk.Latszatemberekiranyitanak,kik
emelikfizetesunk,sketszerannyiadotvonnakle,kikigazsagszolgaltatasrol
regelnek,mikorabunozoketesanovekvoagressziotvediktorvenyeikkel,kikinkabb
Forma1-repocsekoljakapenzt,mialatthajlektalanokhalnakmegnapontautcainkon,
skorhazibetegekszenvednekszuksegesmuszereknelkul.
Hogy-hogynemlatjaeztsenki????Miertnincsegyigazmagyar,kivegre
marnemsajaterdekeit,hanemazorszagsulyosproblemaithelyezneeloterbe!!!
Nemelegakarni,sbeszelni,megszonoklatniaszepet,sjot,
tenni-tenni-tennikell,egyarantmindenkinek-mindenkiert!
==HAZAFI==/Pecs,2004,(SNAFTeam)/
6.病毒通过连接http://www.google.com来检查Internet连接是否有效。
7.病毒从具有以下后缀名的文件中搜索Email地址:
.htm
.wab
.txt
.dbx
.tbb
.asp
.php
.sht
.adb
.mbx
.eml
.pmr
并将其搜索到的Email的地址保存在它此前创建的以.dll为后缀的文本文件中。
8.向搜索到的Email地址发送邮件
其发送的邮件具有以下特征:
发件人为以下字符串中的一个:
<具有迷惑性的字符串>
kepeslapok@meglep.hu
主题:
kepeslaperkezett!
正文:
Tiszteltfelhasználó!
Önnekkópeslapjaórkezett!
Akópeslapfeladója:Alapotazalábbicimentudjamegtekinteni:
http//matav.hu/viewcard/index=psp4uo5683535GSb0123fhhf578840f0623cv2
vagyamellókeltinternetlinkkattintásával.
Üdvözlettel:Matave-card!
http//www.netezz.matav.hu/
附件:
link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com
但是病毒不对含有以下字符串的Email地址发送邮件:
microsoft
vir
trendmicro
avp
f-prot
hotmail
gov
anti
panda
norton
9.假如系统时间为4月,那么病毒将中止自己的运行。
