伪装为圣诞电子贺卡的新病毒Worm_Zafi.d出现

　　新华网天津12月18日电（梁宏、张建新）国家计算机病毒应急处理中心通过对互联网的监测，发现通过邮件和网络共享进行传播的新蠕虫病毒Worm_Zafi.d。

　　据了解，该病毒将自己伪装成圣诞节电子贺卡发给用户，还将自己伪装为新版的聊天工具ICQ2005或音频播放软winamp5.7放到共享目录中，诱使用户打开。用户运行后，会弹出一个对话框故意报告压缩包损坏，以麻痹用户。病毒会在感染机器上开启一个后门，供远程黑客控制。

　　病毒名称：Worm_Zafi.D

　　其他病毒名：W32/Zafi.d@MM （McAfee）

　　W32.Erkez.D@mm（Symantec）

　　WORM_ZAFI.D(Trend Micro)

　　Worm.Zafi.d（金山）I-Worm.Zafi.d（瑞星）

　　I-Worm/Zafi.d(江民)

　　感染系统：Windows2000，Window98,Windows Me,Windows NT, Windows XP

　　病毒特征：

　　1、生成病毒文件

　　病毒运行后在%System％目录下生成NortonUpdate.exe和C:\s.cm。（其中，%System%为系统文件夹，在默认情况下，在Windows95／Me中为C:\Windows\System，在WindowsNT/2000中为C:\Winnt\System32，在WindowsXP中为C:\Windows\System32）

　　病毒还会将自己复制在%System％目录下，名为随机字符.dll文件。病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本，副本名称为:winamp5.7new!.exe、ICQ2005anew!.exe。

　　2、修改注册表项

　　病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加值“Wxp4”=“%System%\NortonUpdate.exe”。这样可以在每次开机时自动运行，文件名伪装为Norton的升级程序。

　　同时，病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4，把自身一些信息保存到注册表中的该键内。

　　3、通过电子邮件传播

　　病毒电子邮件特征如下：

　　主题:为下列名称之一

　　Merry Christmas!

　　boldog karacsony...

　　Feliz Navidad!

　　ecard.ru

　　Christmas Kort!

　　Christmas Vykort!

　　Christmas Postkort!

　　Christmas postikorti!

　　Christmas - Kartki!

　　Weihnachten card.

　　Prettige Kerstdagen!

　　Christmas pohlednice

　　Joyeux Noel!

　　Buon Natale!

　　正文:(为以下之一)

　　Happy HollyDays!

　　:) [Sender]

　　Kellemes Unnepeket!

　　:) [Sender]

　　Feliz Navidad!

　　:) [Sender]

　　:) [Sender]

　　Glaedelig Jul!

　　:) [Sender]

　　God Jul!

　　:) [Sender]

　　God Jul!

　　:) [Sender]

　　Iloista Joulua!

　　:) [Sender]

　　Naulieji Metai!

　　:) [Sender]

　　Wesolych Swiat!

　　:) [Sender]

　　Fr?hliche Weihnachten!

　　:) [Sender]

　　Prettige Kerstdagen!

　　:) [Sender]

　　Veselé Vánoce!

　　:) [Sender]

　　Joyeux Noel!

　　:) [Sender]

　　Buon Natale!

　　:) [Sender]

　　附件:(包含以下扩展名之一的随机文档名)

　　.bat

　　.cmd

　　.com

　　.pif

　　.zip

　　4、病毒运行

　　当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候，病毒就会开始运行。为了避免轻易被检测或清除，该病毒会结束以下名称中包含如下字符串的进程：msconfigregedtask

　　5、后门功能

　　该病毒还具有后门功能，它会打开TCP端口8181，允许远程用户对具有安全漏洞的系统上载文件。

　　手工清除病毒：

　　1、结束病毒进程打开Windows任务管理器，在 Windows95/98/ME系统上,按下CTRL+ALT+DELETE，在WindowsNT/2000/XP系统上,按下CTRL+SHIFT+ESC，并点击进程标签。在运行的程序列表中，找到下面的进程：NORTONUPDATE.EXE，结束该进程即可。

　　2、删除病毒文件 右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。在名称输入框中输入：NortonUpdate.exe和s.cm，找到文件然后选择删除。

　　3、修改注册表打开注册表编辑器。点击开始->运行，输入REGEDIT，依次双击左边的面板中的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，找到右侧面板中“Wxp4”=“%System%\NortonUpdate.exe”，并将其删除。依次双击左边的面板,双击并删除下面的项目HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4。