تحلیل ویروس W32/Zafi-B

[Meteor]

این ویروس از نوع P2P هست و این کرم ایمیلی خودش را توی شاخه ویندوز با یک نام تصادفی کپی میکنه و یک کلید به
رجیستری اضافه میکنه تا مطمئن بشه که توی ری استارت بعدی حتما اجرا میشه .
HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
_Hazafibb= <Windows system folder>\<filename.exe>
این ویروس این زیر کلید را هم ایجاد میکنه
HKLM\Software\Microsoft\_Hazafibb\
این کلید آخری دارای دو تا ارزش با حروف اعداد هست .
این ویروس واسه اینکه بفهمه که به اینتنت وصل هست یا نه سعی میکنه با سایت گوگل یا مایکرو سافت ارتباط برقرار کنه .
ضمنا این ویروس اطلاعاتی را از فایل های ایمیل با پسوند های زیر جمع میکنه
HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR.
سپس این ویروس اطلاعات جمع شده را در یک فایل با نام تصادفی و پسوند DLL ذخیره میکنه . و همینطور سعی میکنه تا خودش را به عنوان یک attachment به ایمیل چسبونه و خودش را برای آدرس هایی که جمع کرده بفرسته این فایل خودش را در یک شاخه اشتراکی یا همون شیر P2P با اسم هایی مثل 'WINAMP 7.0 FULL_INSTALL.EXE' or
'TOTAL COMMANDER 7.0 FULL_INSTALL.EXE'. کپی میکنه .
این ویروس متنی را نشون میده به این شکل
We demand that the government accomodates the homeless,
tightens up the penal code and VOTES FOR THE DEATH PENALTY
to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)
این هم یه مثال از ایمیل که این ویروس فرستاده



Subject: Ingyen SMS!
Message:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess,
mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

Subject: Importante!
Message: Informacion importante que debes conocer, -

Subject: E-Kort!
Message: Mit hjerte banker for dig!

Subject: Ecard!
Message: De cand te-am cunoscut inima mea are un nou ritm!

Subject: E-vykort!
Message: Till min Alskade...

Subject: E-Postkort!
Message: Vakre roser jeg sammenligner med deg...

Subject: E-postikorti!
Message: Iloista kesaa!

Subject: Atviruka!
Message: Linksmo gimtadieno!

Subject: E-Kartki!
Message: W Dniu imienin...

Subject: Cartoe Virtuais!
Message: Te amo...

Subject: Flashcard fuer Dich!
Message: Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewc...card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...

Subject: Er staat een eCard voor u klaar!
Message: Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Hanka

Subject: Elektronicka pohlednice!
Message: Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz

Subject: E-carte!
Message: vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...

Subject: Ti e stata inviata una Cartolina Virtuale!
Message: Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.

Subject: You`ve got 1 VoiceMessage!
Message: Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).

Subject: Tessek mosolyogni!!!
Message: Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:

Subject: Soxor Csok!
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:

Subject: Don`t worry, be happy!
Message: Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye: Subject: Check this out kid!!!
Message: Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

---

موضوعات مشابه:

• آنتی ویروس سوفوس شنیدید؟
• مشکل با ویروس
• آنتی ویروس برای ویروس های لینوکسی
• آیا آنتی ویروس nod32 ، خودش یه ویروسه؟
• یک ویروس عجیب

---

[OPAC]

درد رو گفتي اما درمانش يادت رفت منت بزاري راهنمائي ازبين بردنش راهم بگي آقائي روتموم كردي METEOR آقا

باتشكر

OPAC94@YAHOO.COM

[Meteor]

I-Worm.Zafi.b, W32/Zafi.b@MM, Win32/Zafi.B, W32.Erkez.B@mm, PE_ZAFI.B
اینها الیاس های این کرم هستند .
رجیستری ادیتور ویندوز را اجرا کنید و این کلید را از داخل اون پاک کنید .


Locate the HKEY_LOCAL_MACHINE entry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run \
_Hazafibb= <Windows system folder>\<filename.exe>
ضمنا قبل از این کار از رجیستری یه دونه بک آپ تهیه کنید ..
اگر نمیدونید تا بنویسم . آخه اینجا همه دارن با ویندوز دو هزار سرور به بالا کار میکنند .
در نهایت یه دونه ویروس یاب خوب حتما روی سیستمتون نصب باشه و عملیات پاک سازی اصل ویروس را هم انجام بدین .