病毒标签

　　病毒名称： Email-Worm.Win32.Zafi.b

　　病毒类型： 邮件蠕虫

　　危害等级： 高

　　文件长度： 12,803 字节

　　感染系统： Windows 9x以上的系统

　　开发工具： Visual C++

　　加壳类型： FSG

　　病毒描述

　　该病毒通过邮件传播，为感染 ]pe 格式的病毒。在 %system32% 下复制自身，病毒名为随机的八个字符。同时在此目录下生成 11 个动态连接库文件。病毒搜索下列固定硬盘。添加计划任务，达到随系统启动的目的。搜索某些扩展名的文件。遍历系统进程，终止网络天空的进程。控制 regedit.exe 等进程，使系统无法调用。

　　行为分析

　　1 、创建互斥体 "_Hazafibb"。

　　2 、修改注册表，添加键值，键值不定，为随机字符 HKEY_LOCAL_MACHINESoftwareMicrosoft_Hazafibb。

　　3 、 检查系统进程中是否有网络天空的进程 jammer2nd.exe 和 fvprotect.exe ，若存在则将其终止，并删除该病毒的文件。

　　4 、 占用如下程序使其他进程无法调用： mstask.exe ， regedit.exe ， taskman.exe ， taskmgr.exe 。

　　5 、 默认遍历 c、d、e、f、g、h 盘，寻找扩展名为 htm、wab、txt、dbx、tbb、asp 、 php 、 sht 、 adb 、 mbx 、 eml 、 pmr 、 fpt 、 inb 的文件，搜索其中的 email 地址并发邮件。会自动避免感染包含下列字符的 email 地址： yaho 、 google 、 win 、 use 、 info、 help 、 admi 、 webm 、 micro 、 msn 、 hotm 、 suppor 、 syman 、 viru 、 trend 、 secu 、 panda 、 cafee 、 sopho 、 kasper

　　6 、 在 %system32% 下复制病毒体，并释放十一个动态连接库文件 ，文件名为随机的八个字符，其中一个为病毒体。

　　7 、添加计划任务启动自身，纪录在 %system32% 下生成 SchedLgU.Txt 文件中，同时复制该文件到系统盘根目录下 sys.txt 。

　　--------------------------------------------------------------------------------

　　清除方案

　　1、使用安天木马防线可彻底清除此病毒（推荐）。

　　2、手工清除请按照行为分析删除对应文件，恢复相关系统设置。