I-Worm.Zafi.b

«Лаборатория Касперского» сообщает об увеличении активности обнаруженного в прошлую пятницу, 11 июня, интернет-червя I-Worm.Zafi.b, распространяющегося в качестве вложений в зараженные электронные письма, а также через локальные и файлообменные сети.

Червь написан на языке Assembler, упакован при помощи FSG и имеет размер 12800 байт. В распакованном виде размер увеличивается до 33292 байт.

Распространение через email

Червь распространяется в качестве вложений в зараженные электронные письма.

Для поиска адресов, по которым будет производиться рассылка зараженных писем, червь сканирует файлы с расширениями:

На адреса, содержащие подстроки:

отправка писем не осуществляется.

Содержание зараженного письма выбирается в соответствии с именем домена адреса получателя.

Распространение через локальные и файлообменные сети

Червь копирует свой файл во все папки, в имени которых встречаются строки:

Имя для файлов червя выбирается из следующего списка:

Инсталляция

После запуска копирует свой файл в системный каталог Windows. Имя файла генерируется случайным образом.

Червь регистрирует себя в ключе автозагрузки системного реестра:

Также червь создает уникальный идентификатор «_Hazafibb» для определения своего присутствия в системе.

Прекращает работу в памяти следующих процессов:

После остановки данных процессов, удаляет их файлы с диска.

Действия и проявления

Создает в корне диска C: файл «sys.txt».

Пытается обнаружить на компьютеры файлы некоторых антивирусных программ и перезаписывает их содержимое своими копиями.

Пытается произвести DoS-атаку на сайты:

Срочное обновление баз данных Антивируса Касперского для защиты от I-Worm.Zafi.b было выпущено 11 июня 2004 года.

Подробное описание червя опубликовано в «Вирусной энциклопедии».