 |
|
W32/Zafi.D-mm
|
|
概 述
|
|
|
病毒描述
|
|
最后更新:*
|
|
Dec 15 2004
|
|
捕获时间:*
|
|
Dec 14 2004 |
|
|
FortiGate能检测到的
病毒库版本*
|
|
FOS/V2.36:
|
4.526 |
|
FOS/V2.50:
|
4.526 |
|
FOS/V2.80:
|
4.526 |
|
|
|
|
病毒特点
|
|
威胁程度:*
|
1
2 3 4 5
|
|
病毒长度:*
|
11,745 |
|
病毒类型:*
|
Worm
|
|
|
|
受影响系统*
|
|
|
|
|
其它名称*
|
|
W32/Erkez.D@mm [NAV], |
|
W32/Zafi-D [Sophos], |
|
Worm.Zafi.D [Panda], |
|
WORM_ZAFI.D [Trend]
|
|
|
表现特征
|
|
被感染的机器有一个非常明显的现象就是无法启动"Task Manager" 和 "Registry Editor"
等调试程序。当用户运行这些程序的时候,病毒会监视并拦截它们,如果程序已经运行,那么病毒会关闭它们。
病毒会尝试关闭反病毒软件或者防火墙等安全程序。由于病毒会大量发送邮件,所以会导致系统反应变得缓慢。
病毒会将自己拷贝到任何包含以下字符串的目录下 -
Share
upload
music
在该目录下,病毒会以 -
winamp 5.7 new!.exe
ICQ 2005a new!.exe
只用的一个来命名自己。病毒拷贝可能会被命名为 "Norton Update.exe"。
|
|
|
|
攻击分析
|
这是一个32位的病毒,打包后大小为 11,745 字节长度。病毒会通过 SMTP 以及拷贝自己到目录下来传播自己。
病毒会从以下扩展名文件中获取大量的邮箱地址 -
htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt, inb
在域名部分包含以下字符串的地址则被忽略 -
yaho, google, win, use, info, help, admi, webm, micro, msn, hotm, suppor,
syman, viru, trend, secur, panda, cafee, sopho, kasper
病毒会使用一个主题列表来选择构造邮件。一些可能的文本包括 -
boldog karacsony...
Feliz Navidad!
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas Atviruka!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!
Merry Christmas!
病毒邮件的附件通常比较复杂,例如 'card.php7418.cmd' ;另外,其扩展名可能为 -
.cmd, .bat, .pif, .com 或者 .zip
病毒会将六个邮箱地址写入一个随机生成的扩展名是 .DLL 的文件到 System32 中,例如 -
lggzwscd.dll
myzsnxmh.dll
nkqjexyb.dll
等等。
跟随 Windows 系统启动
病毒会将自己注册到系统中,跟随系统启动,注册键值如下 -
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
"Wxp4" = C:\WINNT\System32\Norton Update.exe
其他注册表信息
病毒会将一些信息存储到注册表中,从而危害到系统安全 -
- "Program Files" 目录下的程序列表
- 包含这些字符串的文件名的位置 - "firewall", "virus", "reged", "msconfig" or
"task"
- SMTP 邮件设置
- 包含获取的邮件地址的 .DLL 文件的位置和文件名
下面是一个被感染系统的注册表信息 -
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
"lA" = C:\Program Files\WinZip
"lB" = C:\Program Files\Zone Labs\ZoneAlarm
"lC" = C:\Program Files\InCtrl5
"lD" = C:\Program Files\Microsoft Office\Office
"lE" = C:\Program Files\Microsoft Office\Office\1033
"lF" = C:\Program Files\Ethereal
"mA" = C:\WINNT\regedit.exe
"mB" = C:\WINNT\TASKMAN.EXE
"mC" = C:\WINNT\system32\taskman.exe
"mD" = C:\WINNT\system32\taskmgr.exe
"mE" = C:\WINNT\system32\regedt32.exe
"mF" = C:\WINNT\system32\mstask.exe
"mG" = C:\WINNT\system32\dllcache\mstask.exe
"mH" = C:\WINNT\system32\dllcache\regedit.exe
"mI" = C:\WINNT\system32\dllcache\regedt32.exe
"mJ" = C:\WINNT\system32\dllcache\taskmgr.exe
"mK" = C:\WINNT\system32\dllcache\taskman.exe
"rC" = %SMTP server name%
"rD" = %hex values%
"t1" = %SMTP displayed name%
"t2" = %SMTP email address of host%
"t3" = C:\WINNT\System32\Norton Update.exe
"t4" = C:\WINNT\System32\hwwpsoei.dll
"t5" = C:\WINNT\System32\lggzwscd.dll
"t6" = C:\WINNT\System32\bxkngbsm.dll
"t7" = C:\WINNT\System32\qysjxmpb.dll
"t8" = C:\WINNT\System32\fasenifc.dll
"t9" = C:\WINNT\System32\nkqjexyb.dll
"tA" = C:\WINNT\System32\zfsferkb.dll
"tB" = C:\WINNT\System32\fvviwsvn.dll
"tC" = C:\WINNT\System32\aottdpbg.dll
"tD" = C:\WINNT\System32\ijnltfmu.dll
"tE" = C:\WINNT\System32\ahjyzphv.dll
"tZ" = C:\WINNT\System32\myzsnxmh.dll
其他
病毒包含对 'microsoft.com' 的 DoS 攻击代码。方法是通过简单的 GET
请求,发送若干次。当很多系统被感染后,会导致目标及其 HTTP 服务高度紧张。通过多服务系统 适当的负荷平衡方法,这种攻击并没有多大意义。 |
|
|
|
处理方式
|
- 用Web界面检查ForiGate的病毒库是否最新病毒库,更新到最新病毒库,如有必要请使用"Allow Push Update"选项。
- 首先升级数据库,管理员可以通过 FortiGate 系统的 the file extension blocking
feature 阻止病毒的传播。阻止扩展名为 .PIF, .COM, .CMD 以及 .EXE 可以阻止大部分的垃圾邮件发送蠕虫的传播。
|
|
