I-Worm.Zafi
This worm spreads via the Internet as an attachment to infected messages. It is 11776 bytes in size.
Characteristics of infected messages
Sender:
[email protected]
Message body:
Tisztelt felhasznalo!
Onnek kepeslapja erkezett!
A kepeslap feladoja: Leva
A lapot az alabbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellekelt internetlink kattintasaval.
Udvozlettel: Matav e-card!
http//www.netezz.matav.hu/
Attachment name
link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF33 4GSDEv255
Propagation
The worm searches disks C, D, E, F, G, H for files with the following extensions, and harvests email addresses from these files:
adb
asp
avi
bmp
cab
com
dbx
dll
eml
exe
gif
htm
ico
iso
jpg
lnk
mbx
mp3
mpg
php
pk3
pmr
rar
sht
swp
tbb
txt
vxd
wab
wav
wmv
zip
If any of the words listed below are found in an address, the address will be ignored.
anti
avp
f-prot
gov
hotmail
microsoft
norton
panda
trendmicro
vir
Installation
The worm creates the following keys in the system registry:
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run ]
The key value is a link to a copy of the worm in the system directory. The file name is randomly generated by the worm.
[HKLM\Software\Microsoft\Hazafi]
The key values of R1 - RA are the user name, user email, links to a copy of the worm in the system directory and links to the files which contain the email addresses harvested by the worm. All file names are randomly generated by the worm.
Other
Immediately following launch, the worm checks the current system date. If the local system date is 01.05.2004, the following dialogue box will be displayed. The worm will not work after 02.05 2004.
The worm terminates the following processes:
dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe
ظهر حالياً فايروس جديد يطلق عليه اسم (ساسر) وهذا الفايروس كانت خسائرة بالملايين
اسم الفايروس : W32/Sasser.worm.b وهو دودة
وقت الإعلان عنه : يوم السبت 5/1/2004
طريقة عمل الفايروس : يغلق الجهاز بعد 50 ثانية حيث تقوم بالبحث العشوائي عن أرقام الآي بي للأجهزة التي يكون المنفذ رقم 445فيها مفتوحاً.
.. شبيه في فايروس بلاستر اللذي ظهر قبل سنه تقريباً..
اذا ظهرت لك هذه الصوره فجهازك مصاب بالفايروس
وبعد ذلك ستظهر لك هذه الصوره لتطفئ جهازك
الأنظمة المعرضة للإصابة
تشير بعض التقارير إلى أن هذه الدودة تستهدف جميع أنظمة ويندوز ابتداءً بويندوز 98بإصدارتيه وكذلك الملينيوم بإصداراته وإن تي و 2000وإكس بي بكافة إصداراته و2003.
الآثار
من أبرز سمات هذه الدودة الفيروسية أنها تقوم بإعادة تشغيل الجهاز خلال 60ثانية كما كانت تفعل سلفها MyDoom ، وبعد أن تتحقق الإصابة تقوم الدودة بفتح المنفذ رقم 9996.
أيضاً تقوم بإنشاء ملف تنفيذي اسمه avserve.exe في دليل ويندوز وكذلك إنشاء التسجيل التالي في ملف الريجستري:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \avserve = avserve.exe
الحل :
أبحث عن الفايروس بجهازك عن طريق الملف التالي
حمل من هنا
ثم قم بسد الثغرة في ويندوز واستخدام الباتش التالي :
حمل من هنا