Đăng Nhập
Tìm kiếm
Top posting users this month
No user |
Thống Kê
Hiện có 3 người đang truy cập Diễn Đàn, gồm: 0 Thành viên, 0 Thành viên ẩn danh và 3 Khách viếng thăm :: 1 BotKhông
Số người truy cập cùng lúc nhiều nhất là 58 người, vào ngày Wed Aug 02, 2017 7:50 pm
Mẫu Zafi.B
SeHTF :: Câu lạc bộ An ninh mạng for Security 2TVN :: Góc nhìn hệ thống by Security 2TVN :: An ninh máy tính by Security 2TVN :: Thông tin cập nhật Top Virus by Security 2TVN :: Top 100 Virus
Trang 1 trong tổng số 1 trang
15062011
Mẫu Zafi.B
Zafi.B
11:06 | 27.05.2011
Zafi.B lây lan rất nhanh không chỉ thông qua các file đính kèm email, mà còn thông qua các mạng chia sẻ file. Lây
nhiễm qua các văn bản thông báo và file khác nhau tùy thuộc vào phần mở
rộng tên miền của địa chỉ email người nhận, thu thập danh sách email
trên máy tính nạn nhân để gửi thư lây nhiễm.
Hoạt động
Khi file chạy, nó sẽ thực hiện như sau:
1. Tạo mutex_Hazafibb
2. Ngăn chặn thực hiện các quy trình bao gồm: regedit, msconfig, task, (eg: regedit, taskman, taskmon, mstask, msconfig)
3. Xóa những file sau: fvprotect.exe, winlogon.exe, services.exe, jammer2nd.exe từ Thư mục Windows
4. Kiểm
tra xem máy tính được kết nối với internet hay không bằng cách cố gắng
liên hệ với google.com hoặc microsoft.com, yahoo.com…hay một số Web
5. Tìm kiếm các địa chỉ e-mail trong các tập tin phù hợp: htm, wab, txt dbx,, asp TBB,, php, sht, adb, mbx, eml, PMR
6. Tránh
các địa chỉ e-mail có chứa: win, use, info, help, admi, webm, micro,
msn, hotm, suppor, syma, vir, trend, panda, yaho, cafee, sopho, google,
kasper, msn, office, nero, icq, game, winra, winzi, divx, movie, total,
wina
7. Nó tìm thấy địa chỉ e-mail trong các file dll có tên ngẫu nhiên trong thư mục HỆ THỐNG(%SYSTEM%)
8. Tạo khóa registry với các mục:
[HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"_Hazafibb"="%SYSTEM%\%random%.exe"]
9. Nó sử dụng SMTP theo cách riêng để gửi chính nó.
10. Tạo ra các bản sao của virus trong các thư mục có chứa "chia sẻ" hay "tải lên" full_install.exe, Winamp 7.0 full_install.exe và /hoặc Total Commander 7.0 full_install.exe
11. Tạo ra : www.parlament.hu, www.virusbuster.hu, www.virushirado.hu, www.2f.hu
12. Có thể tạo ra các tập tin SYS.TXT trong C: và _upload.exe
13. Virus này có chứa các chuỗi sau đây:
A
hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a
HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes
ellen!2004, jun, Pecs,(SNAF Team).
Cách loại bỏ:
Hầu hết các hãng bảo mật đã đưa ra tools hay tích hợp vào chương trình Scan Virus mẫu Zafi.B với bản cập nhật mới nhất của họ.
Vì
Zafi.B có thể vô hiệu hoặc ghi đè lên những sản phẩm Antivirus trên máy
tính bị nhiễm, nên người dùng cần phải sử dụng một trong những tiện ích
loại bỏ hoặc Scan Online, Tools. Nếu Antivirus trong máy tính của bạn
đã được ghi đè, bạn sẽ cần phải cài đặt lại phần mềm này.
Có thể loại bỏ bằng cách xóa các tập tin trong thư mục hệ thống Windows và loại bỏ các mục đăng ký. Nếu bạn không quen thuộc với thao tác trên Registry thì có lẽ nên sử dụng một trong những công cụ loại bỏ đề cập ở trên.
Trong khi thực hiên bạn nên sao lưu registry của bạn trước khi chỉnh sửa và tắt chức năng System restore.
Xóa các mục Run liên kết với Zafi.B từ registry.
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
và xóa các khóa :
"_Hazafibb" = "% System% \. Exe"
tìm và xóa :
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ _Hazafibb
Admin- Chủ Tịch Se S2T
- Con Giáp :
Tuổi giáp Trung Hoa :
Tổng số bài gửi : 1481
Điểm Se S2T : 88055
Sinh Nhật : 03/11/1990
Tham gia ngày : 27/08/2009
Tuổi : 33
Đến từ : Äồng Há»›i City
Sở thích : Máy tÃnh, Soft, AV....
Tính hài hước : Bình thÆ°á»ng
Huy chương
Sức mạnh:
(100/100)
Điểm SeS2T:
(50/50)
Permissions in this forum:
Bạn không có quyền trả lời bài viết