Описание
Win32.Hazafi.30720 - вирус, поражающий компьютеры под управлением операционных систем семейства Windows. Размер программного модуля вируса, упакованного утилитой сжатия FSG - 12 800 байт.
Распространяется по электронной почте, разделяемым директориям и файлообменным сетям, копируя себя в разделяемые директории таких сетей.
Останаливает некоторые системные процессы. Организует атаку на несколько сайтов в Венгрии. Инфицирует исполняемые файлы (.EXE-файлы), перезаписывая их своей копией, что приводит к невозможности запуска программ, преимущественно антивирусных.
Запуск вируса
Запуск вируса происходит в результате открытия самим пользователем вложения к вредоносному посланию.
Путь к своей копии червь прописывает в ключе реестра
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
добавляя в него значение _Hazafibb
Также, в реестре червь создает собственную запись
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb
Распространение
Для распространения по сети Интернет через электронную почту в поисках почтовых адресов для своей рассылки червь сканирует локальную адресную книгу Windows и файлы на дисках от С до H , которые имеют следующие расширения
htm wab txt dbx tbb asp php sht adb mbx eml pmrИз рассылки исключаются адреса, в которых присутствуют следующие последовательности символов:
win use info help admi webm micro msn hotm suppor syma vir trend panda yaho cafee sopho google kasperРассылка производится с помощью встроенного в тело червя механизма реализации протокола SMTP. Адрес отправителя подставляется червем. В зависимости от страны, в которую вирус отправляет послание со своей копией во вложении, текст прилагаемого к посланию сообщения будет соответствовать языку такой страны. Вложение может иметь расширение .exe, .com или .pif.
Чтобы обеспечить свое распространение по файлообменным сетям, червь сканирует жесткие диски компьютера в поисках директорий, в которых содержатся символы "share" и "upload" и копирует себя в них в виде файлов winamp 7.0 full_install.exe и Total Commander 7.0 full_install.exe.
Действия
Чтобы избежать повторного инфицирования системы своими копиями, червь создает семафор _Hazafibb. Далее он помещает в системную директорию Windows (в Windows 9x и Windows ME это C:\Windows\System, в Windows NT/2000 это C:\WINNT\System32, в Windows XP это C:\Windows\System32) два файла. Оба файла имеют случайные названия, состоящие из 8 символов, и расширенияе .exe или .dll. Еще несколько файлов с произвольными названиями в формате .dll вирус помещает также в системную директорию. В этих файлах вирус хранит собранные в системе почтовые адреса.
Вирус инфицирует исполняемые файлы (.EXE-файлы). Содержание оригинального файла удаляется, а вместо него, с тем же названием, появляется копия вируса.
Вирус открывает в окне браузера какую-нибудь ссылку, уже посещенную пользователем. Ссылки выбираются вирусом из реестровой записи
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
Вирус останавливает следующие процессы
regedit msconfig task
- www.parlament.hu
- www.virusbuster.hu
- www.virushirado.hu
- www.2f.hu
