|
|
近日出现了病毒Worm_Zafi.B,有用户报告受到感染,但数量不大,在这里提醒广大用户注意。由于该病毒必须通过用户双击方能得以运行,所以用户在了解该病毒基本特征后,谨慎处理电子邮件和在一些特殊文件,就可以有效地避免病毒的发作和传播。
病毒可通过电子邮件和网络共享进行传播。计算机在收到该病毒感染后有可能出现系统性能下降,网络速度减慢,安全防护软件,如杀毒软件、防火墙无法正常运行等现象。
有关该病毒的技术报告如下:
病毒名称:Worm_Zafi.B
其它命名:I-Worm.Zafi.b(Kaspersky)
PE_ZAFI.B(Trend)
W32.Erkez.B@mm(Symantec)
Win32.Hazafi.30720(Dialogue Science)
W32/Zafi.b@MM(McAfee)
Zafi.B(Computer Associates)
W32/Zafi-B(Sophos)
病毒类型:蠕虫
感染系统:Win9x/WinMe/WinNT/Win2000/WinXP/Win2003
病毒长度:12,800字节
病毒特征:
1、生成病毒文件
病毒运行后,在%system%文件夹下生成两个自身的拷贝,分别以.exe和.dll作为扩展名。例如:C:\%system%\asdfzxcv.exe和C:\%system%\loujnbgf.dll。
同时,病毒在%system%文件夹下生成一些.dll文件,文件名由8个随机字母组成,用于存放在被感染机器上搜索到的邮件地址。(其中,%System%在Windows 95/98/Me 下为C:\Windows\System,在Windows NT/2000下为C:\Winnt\System32,在Windows XP下为 C:\Windows\System32)
2、修改注册表
病毒添加注册表项,使得自身能够在系统启动时自动运行,在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加"_Hazafibb" =%system%\<随机字母>.exe,例如:"_Hazafibb" =%system%\asdfzxcv.exe。
3、通过电子邮件传播
病毒在被感染计算机以下扩展名的文件中搜索邮件地址(adb、asp、dbx、eml、htm、mbx 、php、pmr、sht、tbb、txt、wab),并病毒使用自带的smtp向这些地址发送带有病毒的电子邮件。以下为病毒邮件的一个实例:
主题:Don`t worry, be happy!
附件:"www.ecard.com.funny.picture.index.nude.php356.pif"
内容:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
病毒邮件的发信人地址可能是虚假的,附件的扩展名为.exe、.com或.pif。同时,病毒会避免向一些与反病毒相关的邮件地址发送染毒邮件。
4、通过共享传播
病毒可通过文件共享传播,它在包含字符串share或upload 的文件夹下生成自身的副本,并命名为winamp 7.0 full_install.exe或Total Commander 7.0 full_install.exe。
5、影响反病毒软件的运行
病毒在被感染计算机中搜索已知的一些反病毒软件,找到此类软件所在的文件夹后,病毒会用自身覆盖该文件夹以及其子文件夹下的.exe文件,导致这些程序不能正常运行。
为避免通过手工方式对病毒进行清除,病毒会试图终止包含以下字符串的进程,regedit、msconfig和task。
清除该病毒的一些建议:
1、注册表的恢复
点击“开始 〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"_Hazafibb" =%system%\<随机字母>.exe
2、删除病毒文件
点击“开始 〉查找 〉文件和文件夹”,查找文件winamp 7.0 full_install.exe或Total Commander 7.0 full_install.exe,并将找到的文件删除。
3、运行杀毒软件,对系统进行全面的病毒清除。
专家提醒:
1、 从上半年流行病毒的总体态势来看,通过电子邮件传播的病毒最为严重,由于大部分病毒需要用户双击染有病毒的附件才能得以运行,所以用户的对此类邮件的警惕性非常重要,正确处理此类病毒邮件,就可以有效地避免病毒的运行和更进一步的传播扩散。
2、 不要随意登录一些不规范的网站,更不要随便下载应用软件和一些工具,这有可能成为病毒感染的又一途径,如需下载,应当到正规的大型网站,并对下载的内容进行病毒检测,确认无毒后再安装使用。 |
|
|
|
|
|
|
|
|
|
|
|
发表于 30-6-2004 09:12 PM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
发表于 5-7-2004 01:24 AM
|
显示全部楼层
|
|
|
|
|
|
|
|
|
|
|
发表于 5-7-2004 03:06 AM
|
显示全部楼层
hfng 于 5-7-2004 01:24 AM 说 :
请问要怎么删除这个病毒呢?
清除该病毒的一些建议:
1、注册表的恢复
点击“开始 〉运行”,输入regedit,运行注册表编辑器,依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ,并删除面板右侧的"_Hazafibb" =%system%\<随机字母>.exe
2、删除病毒文件
点击“开始 〉查找 〉文件和文件夹”,查找文件winamp 7.0 full_install.exe或Total Commander 7.0 full_install.exe,并将找到的文件删除。
3、运行杀毒软件,对系统进行全面的病毒清除。 |
|
|
|
|
|
|
|
|
|
| |
 本周最热论坛帖子
|
变色卡
千斤顶
3097 
229
