Win32.HLLM.Hazafi.50702
(Email-Worm.Win32.Zafi.e, W32/Zafi.e@MM, WORM_ZAFI.E, Worm/Zafi.E, WORM_ZAFI.GEN, W32.Erkez.F@mm, Win32/Zafi.E!Worm, Win32/Zafi.E@mm, I-Worm/Zafi.E, Win32.Zafi.E@mm)
Добавлен в вирусную базу Dr.Web:
2005-09-25
Описание добавлено:
2005-09-27
Вирус-червь, распространяющийся через интернет в виде вложений в зараженные электронные письма, а также через локальную и файлообменные сети.
Написан на языке Assembler. Упакован при помощи UPX. Размер в запакованном виде - 15374,в распакованном - 50702 байта.
Инсталляция
При первом запуске выводит окошко с заголовком "Windows Security" и сообщением :"Windows has blocked access to this image"
После запуска копирует свой файл в системный каталог Windows. Имя файла имеет вид
Symantec_Update-xxxxx.exe, где ххххх генерируется случайным образом.
Кроме того, примерно раз в секунду вирус сохраняет себя под другим именем такого же вида, запускает свою сохранённую копию и прекращает
работу своей текущей копии. Таким образом он пытается не допустить закрытия своего процесса с помощью Task Manager'a и подобных программ.
Червь регистрирует себя в ключе автозагрузки системного реестра:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"__ZF5"="%system%\[имя файла]"
Он создает свой собственный ключ в системном реестре [HKEY_LOCAL_MACHINE\Software\Microsoft\__ZF5],
где хранит следующую информацию
"DF" - путь до текущей рабочей копии червя
"jxx" - персональные данные пользователя\почтовые адреса\пути к созданным червём файлам, содержащим найденные почтовые адреса
xx - произвольное цифро-буквенное окончание
"uxx" - пути к найденным червём файлам, содержащие в своем имени одну их строчек:
reged
msconfig
task
Червь открывает их, таким образом препятствуя их запуску.
xx - произвольное цифро-буквенное окончание
Также червь создает уникальный идентификатор "__ZF5" для определения своего присутствия в системе.
Пытается прекратить работу в памяти следующих процессов:
nmain.exe
Luall.exe
nod32.exe
gcasDtServ.exe
nod32krn.exe
nod32kui.exe
AVLTMAIN.EXE
MRT.exe
gcasServ.exe
avginet.exe
inetupd.exe
fpavupdm.exe
Updater.exe
pcclient.exe
F-StopW.exe
drwebupw.exe
QH32.EXE
QHM32.EXE
LIVEUP.exe
savmain.exe
savprogess.exe
nod32.exe
bdmcon.exe
bdlite.exe
McUpdate.exe
mcmnhdlr.exe
VBInstTmp.exe
vbcmserv.exe
vbcons.exe
fspex.exe
После остановки данных процессов, удаляет их файлы с диска.
Вирус пытается отключить мониторинг следующих антивирусов
KasperskyAntiVirus
McAfeeAntiVirus
PandaAntiVirus
SophosAntiVirus
SymantecAntiVirus
TrendAntiVirus
Изменяя значения соответствующих ключей в ветви реестра [HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Monitoring\]
Также пытается остановить сервисы:
Windows Firewall/Internet Connection Sharing (ICS)
AMON
Security Center
Ставит бэкдор на порт 8293, может сгружать и исполнять файлы.
Размножение через email
Червь ищет email-адреса в файлах с расширениями:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
Игнорируется отправка писем на адреса, содержащие строки:
google
sale
service
info
help
admi
webm
micro
msn
hotm
suppor
soft.
zonela
Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.
Пример содержания письма:
From: Monica Lembar
Subject: MSN Postcard
STAR WARS
,, Hi there ,,
There's a star wars postcard waiting for you, from Monica Lembar.
Just click the link below to pick up your personal message:
greeting.index.pict2567.jpg
(If you cannot view the image by clicking on the link, copy and paste
the attachment picture into your browser).
Best regards: http://www.jedinet.com
ImageSize: 15Kb
Virus & Spam Scan: V
К письму прикреплено вложение размером 15503 байт, которое представляет из
себя .zip архив со случайным именем, содержащий файл с одним из расширений:
cmd
scr
pif
com
Размножение через локальную и файлообменные сети
Червь копирует себя во все папки, в имени которых встречаются строки:
share
upload
music
startup
Имя файла червя выбирается из следующего списка:
Adobe Acrobat 8.0.exe
Divx Player 7.0.exe
Также червь пытается копировать себя во все найденные общие папки.