Erkez

Erkez駭蟲透過mail方式大量散播病毒,使用者請小心,不要隨意執行來路不明的*.pif檔案

Erkez駭蟲會利用自己簡易的SMTP引擎大量發送病毒信件,並會嘗試經由P2P來散播病毒,並將病毒本身複製到系統上有share或upload的目錄夾內,以達到病毒散播的能力

基本介紹

病毒名稱 Erkez
病毒別名 W32/Zafi.b@MM
病毒型態 Worm , E-Mail
病毒發現日期 2004/06/14
影響平台 Windows 95/98/ME , Windows NT/2000/XP/2003

風險評估

散播程度:中
破壞程度:低

Erkez信件格式:

發信者: < 隨機 >

主旨: < 下列任一個 >
Check this out kid!!!
Ti e stata inviata una Cartolina Virtuale!
Don`t worry, be happy!
E-carte!
Soxor Csok!
Elektronicka pohlednice!
Tessek mosolyogni!!!
Er staat een eCard voor u klaar!
You`ve got 1 VoiceMessage!
Flashcard fuer Dich!
Cartoe Virtuais!
E-Kartki!
Atviruka!
E-postikorti!
E-Postkort!
E-vykort!
Ecard!
E-Kort!
oKatya
Importante!
Ingyen SMS!

內文: < 下列任一個 >
Informacion importante que debes conocer,

Mit hjerte banker for dig!

De cand te-am cunoscut inima mea are un nou ritm!

Till min Alskade...

Vakre roser jeg sammenligner med deg...

Iloista kesaa!

Linksmo gimtadieno! ha

W Dniu imienin...

Content: Te amo... ,

Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...

Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz -

vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...

Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.

Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).

Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:

Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:

Attachment: "www.ecard.com.funny.picture.index.nude.php356.pif"
Message:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:

Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

附加檔案: < 下列任一個 >
jennifer the wild girl xxx07.jpg.pif
www.ecard.com.funny.picture.index.nude.php356.pif
anita.image043.jpg.pif
meztelen csajok fociznak.flash.jpg.pif
link.voicemessage.com.listen.index.php1Ab2c.pif
link.cartoline.it.viewcard.index.4g345a.pif
link.zdnet.fr.ecarte.index.php34b31.pif
link.seznam.cz.pohlednice.index.php2Avf3.pif
postkaarten.nl.link.viewcard.index.phpG4a62.pif
link.flashcard.de.viewcard34.php.2672aB.pif
link.cartoe.viewcard.index.phpYj39.pif
link.kartki.showcard.index.phpVg42.pif
link.atviruka.showcard.index.phpGz42.pif
link.postikorti.showcard.index.phpGz42.pif
link.postkort.showcard.index.phpAe67.pif
link.vykort.showcard.index.phpBn23.pif
link.showcard.index.phpAv23.ritm.pif
link.ekort.index.phpV7ab4.kort.pif
view.link.index.image.phpV23.sexHdg21.pif
link.informacion.phpV23.text.message.pif
regiszt.php?3124freesms.index777.pif


Erkez 行為描述:

註:在Win95/98/me %System% 預設值為 C:\windows\System

在WinNT/2000/XP/2003 %System% 系統預設值為 C:\WinNT\System32

  • 透過自己的SMTP大量發送病毒信件。

  • 透病毒執行後,將駭蟲本身複製到%System%

    • jrbtgmqi.exe
    enfrbatm.dll

  • 修改登錄檔,如此開機即會啟動駭蟲。

    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    名稱=<隨機>.exe 值=%system%\<隨機>.exe

  • 修改登錄檔,產生新的值

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

  • 尋找系統中目錄名稱為share 或 upload 者,將駭蟲本身複製到此些目錄中,檔案為:

    • Total Commander 7.0 full_install.exe
    winamp 7.0 full_install.exe