| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 |

您现在的位置： 中国X黑客小组 >> 技术文章 >> 安全防御 >> 病毒分析 >> 文章正文 用户登录 新用户注册

攻击Google和微软:W32.Erekez病毒分析    热     ★★★ 【字体：小 大】
攻击Google和微软:W32.Erekez病毒分析
作者：伯狼    文章来源：CnXHacker.Net    点击数：    更新时间：2004-12-23
W32.Erekez.C @mm 　　该病毒通过在受感染计算机使用自带的SMTP引擎大规模发送邮件进行传播，并将自身拷贝到类似网络中共享的文件夹中。 　　当它开始发作时，它会尝试去覆写.exe文件，这些可执行文件通常都是安全类产品，包括诺顿等大家广泛使用的国外厂商产品。 　　其他名称：W32/Zafi.c @MM[McAfee], Zafi.C [F-Secure], W32/Zafi.C.worm [Panda], I-Worm.Zafi.c [Kaspersky] 　　病毒类型：蠕虫 　　病毒长度：15,993字节 　　受影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP 　　风险指数：低 　　破坏指数：中 　　感染指数：高 　　病毒分析： 　　1，创建如下文件： 　　%System%\svchost.com 　　%System%\svchost.con 　　2,在系统文件夹下创建名为svchost.coX(X为随机数字) 　　3，在如下注册表项中： 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 　　添加如下键值： 　　"_svchost.con"="%System%\svchost.com" 　　以方便病毒在启动Windows时同时自动启动。 　　4，创建存储病毒信息的注册表条目： 　　HKEY_LOCAL_MACHINE\Software\Microsoft\updateZ3 　　5，修改如下注册表项： 　　KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\ Parameters\FirewallPolicy\StandardProfile 　　的如下键值： 　　"DisableNotifications" = "1" 　　"EnableFirewall" = "0" 　　"DoNotAllowExceptions" = "0" 　　6，修改如下注册表项： 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center 　　中的如下键值： 　　"AntiVirusDisableNotify" = "1" 　　"FirewallDisableNotify" = "1" 　　"updatesDisableNotify" = "1" 　　"AntiVirusOverride" = "1" 　　"FirewallOverride" = "1" 　　7，创建如下日志文件： 　　C:\tm.txt 　　8，禁止用户运行包含如下字符串的程序： 　　reged(例如：regedit将无法使用) 　　msconfig(此为Windows配置实用程序) 　　task(任务管理器：taskmanager将无法使用) 　　9，病毒会搜索计算机内所有文件和文件夹，以查找出所有防/杀病毒程序文件和文件夹： 　　·当查到安全程序执行文件时，将自身拷贝并覆盖该文件 　　·当查到安全程序所在的文件夹时，将该文件夹及其子目录下所有可执行文件覆盖。 　　10，搜索类似网络共享的文件夹，查找从C到H的所有盘符中包含"share"或"upload"或"downlo"字符串的文件夹。 　　将自身拷贝到搜索到的文件夹中，有可能是下面的文件名： 　　·Install_AIM.exe 　　·uninstall.exe 　　·doom3 keygen.exe(晕，又是一个玩游戏迷来的？？？) 11，搜索计算机中所有的邮件地址，并将它们保存到%System%\svchost.coX(X为随机数字)中，　病毒将从地址簿及如下扩展名的文件中得到邮件地址： 　　.htm 　　.wab 　　.txt 　　.dbx 　　.tbb 　　.asp 　　.php 　　.sht 　　.adb 　　.mbx 　　.eml 　　.pmr 　　不过，它不去拷贝含有如下字符串的邮件地址： 　　info 　　help 　　aol 　　webm 　　micro 　　msn 　　hotmail 　　co 　　suppor 　　syma 　　vir 　　trend 　　panda 　　hoo 　　com 　　cafee 　　sopho 　　google 　　kasper 　　12，使用自身的SMTP引擎将自身发送到搜集到的邮件地址中去，邮件内容会使用多种不同的语言，而病毒本身作为附件发送，为双扩展名形式。 　　13，同时，在受感染计算机上发送无数HTTP请求到如下Web站点以执行DoS--拒绝服务攻击： 　　_blank>www.google.com 　　_blank>www.microsoft.com 　　_blank>www.miniszterelnok.hu 　　清除方法： 　　1，重新启动计算机，进入带VGA的安全模式 　　2，永久删除前文所述所有病毒文件 　　3，删除如下注册表项： 　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 　　中的如下键值： 　　"_svchost.con"="%System%\svchost.com" 　　4，删除如下注册表项： 　　HKEY_LOCAL_MACHINE\Software\Microsoft\updateZ3 　　5，重新启动计算机，重新安装防病毒程序，立即升级病毒库。
文章录入：IceRiver    责任编辑：IceRiver
	上一篇文章： MSN病毒原理及测试代码 下一篇文章： 一个Linux病毒原型分析
【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】

最新热点		最新推荐		相关文章
				俄罗斯网站遭大规模攻击 美领 一公司研发网络病毒攻击竞争 西方媒体诬称中国黑客攻击多 会话劫持攻击实战详解 不怕攻击！上网必学的八招安 外交部称我国未收到遭黑客攻 黑客攻击行为趋利化 出台网络 爆料：英国政府网络遭中国电 “免杀病毒”成为黑客的惯用 黑客技术分析 会话劫持攻击实

网友评论：（只显示最新5条。评论内容只代表网友观点，与本站立场无关！）

关于我们 - 版权声明 - 帮助(？) - 广告服务 - 联系我们 - 友情链接 - 用户注册 -	Powered by ICE RIVER - STUDIO

» CnXHacker.CoM

© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved.