攻击Google和微软:W32.Erekez病毒分析

作者：佚名出处：网络转载时间：10-18 点击：

内容载入中...

　W32.Erekez.C @mm

　　该病毒通过在受感染计算机使用自带的SMTP引擎大规模发送邮件进行传播，并将自身拷贝到类似网络中共享的文件夹中。

　　当它开始发作时，它会尝试去覆写.exe文件，这些可执行文件通常都是安全类产品，包括诺顿等大家广泛使用的国外厂商产品。

　　其他名称：W32/Zafi.c @MM[McAfee], Zafi.C [F-Secure], W32/Zafi.C.worm [Panda], I-Worm.Zafi.c [Kaspersky]
　　病毒类型：蠕虫
　　病毒长度：15,993字节
　　受影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
　　风险指数：低
　　破坏指数：中
　　感染指数：高

　　病毒分析：

　　1，创建如下文件：

　　%System%\svchost.com
　　%System%\svchost.con

　　2,在系统文件夹下创建名为svchost.coX(X为随机数字)

　　3，在如下注册表项中：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

　　添加如下键值：

　　"_svchost.con"="%System%\svchost.com"

　　以方便病毒在启动Windows时同时自动启动。

　　4，创建存储病毒信息的注册表条目：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\UpdateZ3

　　5，修改如下注册表项：

　　KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\
Parameters\FirewallPolicy\StandardProfile

　　的如下键值：

　　"DisableNotifications" = "1"
　　"EnableFirewall" = "0"
　　"DoNotAllowExceptions" = "0"

　　6，修改如下注册表项：

　　HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center

　　中的如下键值：

　　"AntiVirusDisableNotify" = "1"
　　"FirewallDisableNotify" = "1"
　　"UpdatesDisableNotify" = "1"
　　"AntiVirusOverride" = "1"
　　"FirewallOverride" = "1"

　　7，创建如下日志文件：

　　C:\tm.txt

　　8，禁止用户运行包含如下字符串的程序：

　　reged(例如：regedit将无法使用)
　　msconfig(此为Windows配置实用程序)
　　task(任务管理器：taskmanager将无法使用)

　　9，病毒会搜索计算机内所有文件和文件夹，以查找出所有防/杀病毒程序文件和文件夹：

　　·当查到安全程序执行文件时，将自身拷贝并覆盖该文件
　　·当查到安全程序所在的文件夹时，将该文件夹及其子目录下所有可执行文件覆盖。

　　10，搜索类似网络共享的文件夹，查找从C到H的所有盘符中包含“share”或“upload”或“downlo”字符串的文件夹。

　　将自身拷贝到搜索到的文件夹中，有可能是下面的文件名：

　　·Install_AIM.exe
　　·uninstall.exe
　　·doom3 keygen.exe(晕，又是一个玩游戏迷来的？？？)

11，搜索计算机中所有的邮件地址，并将它们保存到%System%\svchost.coX(X为随机数字)中，　病毒将从地址簿及如下扩展名的文件中得到邮件地址：

　　.htm
　　.wab
　　.txt
　　.dbx
　　.tbb
　　.asp
　　.php
　　.sht
　　.adb
　　.mbx
　　.eml
　　.pmr

　　不过，它不去拷贝含有如下字符串的邮件地址：