攻击Google和微软：W32 Erekez病毒分析

　　该病毒通过在受感染计算机使用自带的SMTP引擎大规模发送邮件进行传播，并将自身拷贝到类似网络中共享的文件夹中。
　　
　　当它开始发作时，它会尝试去覆写.exe文件，这些可执行文件通常都是安全类产品，包括诺顿等大家广泛使用的国外厂商产品。
　　
　　其他名称：W32/Zafi.c @MM[McAfee], Zafi.C [F-Secure], W32/Zafi.C.worm [Panda], I-Worm.Zafi.c [Kaspersky]
　　病毒类型：蠕虫
　　病毒长度：15,993字节
　　受影响系统：Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
　　风险指数：低
　　破坏指数：中
　　感染指数：高
　　
　　病毒分析：
　　
　　1，创建如下文件：
　　
　　%System%\svchost.com
　　%System%\svchost.con
　　
　　2,在系统文件夹下创建名为svchost.coX(X为随机数字)
　　
　　3，在如下注册表项中：
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　添加如下键值：
　　
　　"_svchost.con"="%System%\svchost.com"
　　
　　以方便病毒在启动Windows时同时自动启动。
　　
　　4，创建存储病毒信息的注册表条目：
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\UpdateZ3
　　
　　5，修改如下注册表项：
　　
　　KEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccessParameters\FirewallPolicy\StandardProfile
　　
　　的如下键值：
　　
　　"DisableNotifications" = "1"
　　"EnableFirewall" = "0"
　　"DoNotAllowExceptions" = "0"
　　
　　6，修改如下注册表项：
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
　　
　　中的如下键值：
　　
　　"AntiVirusDisableNotify" = "1"
　　"FirewallDisableNotify" = "1"
　　"UpdatesDisableNotify" = "1"
　　"AntiVirusOverride" = "1"
　　"FirewallOverride" = "1"
　　
　　7，创建如下日志文件：
　　
　　C:\tm.txt
　　
　　8，禁止用户运行包含如下字符串的程序：
　　
　　reged(例如：regedit将无法使用)
　　msconfig(此为Windows配置实用程序)
　　task(任务管理器：taskmanager将无法使用)
　　
　　9，病毒会搜索计算机内所有文件和文件夹，以查找出所有防/杀病毒程序文件和文件夹：
　　
　　当查到安全程序执行文件时，将自身拷贝并覆盖该文件
　　当查到安全程序所在的文件夹时，将该文件夹及其子目录下所有可执行文件覆盖。
　　
　　10，搜索类似网络共享的文件夹，查找从C到H的所有盘符中包含“share”或“upload”或“downlo”字符串的文件夹。
　　
　　将自身拷贝到搜索到的文件夹中，有可能是下面的文件名：
　　
　　Install_AIM.exe
　　uninstall.exe
　　doom3 keygen.exe(晕，又是一个玩游戏迷来的？？？)
　　
　　想拿A75相机,现在就进来答题 •全球独家首测RV410
　　论坛网友召集A95团购 •视窗专区常见问题汇总
　　一周摄影作品汇总投票 •论坛篮球赛,火热报名进行中
　　想拿A75相机,现在就进来答题 •全球独家首测RV410
　　论坛网友召集A95团购 •视窗专区常见问题汇总
　　一周摄影作品汇总投票 •论坛篮球赛,火热报名进行中
　　想拿A75相机,现在就进来答题 •全球独家首测RV410
　　论坛网友召集A95团购 •视窗专区常见问题汇总
　　一周摄影作品汇总投票 •论坛篮球赛,火热报名进行中
　　
　　11，搜索计算机中所有的邮件地址，并将它们保存到%System%\svchost.coX(X为随机数字)中，〔《窘拥刂凡炯叭缦吕┱姑奈募械玫接始刂罚?/P>
　　
　　.htm
　　.wab
　　.txt
　　.dbx
　　.tbb
　　.asp
　　.php
　　.sht
　　.adb
　　.mbx
　　.eml
　　.pmr
　　
　　不过，它不去拷贝含有如下字符串的邮件地址：
　　
　　info
　　help
　　aol
　　webm
　　micro
　　msn
　　hotmail
　　co
　　suppor
　　syma
　　vir
　　trend
　　panda
　　hoo
　　com
　　cafee
　　sopho
　　google
　　kasper
　　
　　12，使用自身的SMTP引擎将自身发送到搜集到的邮件地址中去，邮件内容会使用多种不同的语言，而病毒本身作为附件发送，为双扩展名形式。
　　
　　13，同时，在受感染计算机上发送无数HTTP请求到如下Web站点以执行DoS--拒绝服务攻击：
　　
　　www.google.com
　　www.microsoft.com
　　www.miniszterelnok.hu
　　
　　清除方法：
　　
　　1，重新启动计算机，进入带VGA的安全模式
　　
　　2，永久删除前文所述所有病毒文件
　　
　　3，删除如下注册表项：
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　
　　中的如下键值：
　　
　　"_svchost.con"="%System%\svchost.com"
　　
　　4，删除如下注册表项：
　　
　　HKEY_LOCAL_MACHINE\Software\Microsoft\UpdateZ3
　　
　　5，重新启动计算机，重新安装防病毒程序，立即升级病毒库。