病毒名称： Worm.Zafi.d 影响系统： Win9x / WinNT 处理时间： 2004-12-15

中文名称： 灾飞D 病毒类型： 蠕虫 威胁级别： ★★★

病毒别名： W32.Erkez.D@mm[诺顿] WORM_ZAFI.D[趋势] Email-Worm.Win32.Zafi.d[AVP]

该蠕虫通过邮件和网络共享进行传播。病毒将自己伪装为圣诞节电子贺卡，发给找到的电子邮箱地址中。病毒还将自己伪装为新版的聊天工具 ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中，诱使用户打开。用户运行后，会弹出一个对话框故意报告压缩包损坏，以麻痹用户。病毒会在感染机器上开启一个后门，供远程黑客控制。

病毒发送的邮件：

运行后，弹出欺骗性对话框：

1、病毒生成以下文件

%System%\Norton Update.exe （病毒本身）
%System%\%8位随机字母%.dll （保存找到的邮件地址）
%System%\%8位随机字母%.dll （大小11873 自身的压缩包）
C:\s.cm （日志文件）

2、查找有shar字符的目录，并复制自身为以下文件名之一：

winamp 5.7 new!.exe
ICQ 2005a new!.exe

3、在注册表中添加启动键值：
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
"Wxp4" = "%System%\Norton Update.exe"
这样可以在每次开机时自动运行，文件名伪装为 Norton 的升级程序。

4、将自身一些信息保存到注册表中的如下键内：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

5、尝试通过80端口连接 microsoft.com 网站

6、创建互斥量：
Wxp4
保证只有一个进程运行

7、终止含有以下字符的进程

reged
msconfig
task
syman
viru
trend
secur
panda
cafee
sopho
kasper
这样注册表管理器、任务管理器、MS配置程序、杀毒软件都无法运行，给清除病毒带来不便。

8、开启 TCP8181 端口，作为后门

9、从以下扩展名文件中查找可能的电子邮件地址：

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

10、如果找的电子邮件地址有以下字符，则不发送：

yaho
google
win
use
info
help
admi
ebm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

11、病毒邮件的主题为以下之一：

Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
Buon Natale!

12、邮件内容为：

:) %发件人名称%
http://%邮箱域名%/附件名.%jpg或gif%%随机4位数字% - Picture Size: 11 KB, Mail: +OK

13、附件为病毒，其扩展名可能为以下之一：

.bat
.cmd
.com
.pif
.zip