中国国家计算机病毒应急处理中心通过对互联网的监测,发现通过邮件和网络共享进行传播的新蠕虫病毒Worm_Zafi.d。该中心说,该病毒将自己伪装成圣诞节电子贺卡发给用户,还将自己伪装为新版的聊天工具ICQ2005或音频播放软winamp5.7放到共享目录中,诱使用户打开。该中心说,用户运行后,会弹出一个对话框故意报告压缩包损坏,以麻痹用户。病毒会在感染机器上开启一个后门,供远程黑客控制。
病毒名称:Worm_Zafi.D
其他病毒名:W32/Zafi.d@MM (McAfee)
WORM_ZAFI.D(Trend Micro)
Worm.Zafi.d(金山)I-Worm.Zafi.d(瑞星)
I-Worm/Zafi.d(江民)
感染系统:Windows2000,Window98,Windows Me,Windows NT,Windows XP
病毒特征:
1、生成病毒文件
病毒运行后在%System%目录下生成Norton Update.exe和C:\s.cm。(其中,%System%为系统文件夹,在默认情况下,在Windows 95/Me中为C:\Windows\System,在Windows NT/2000中为C:\Winnt\System32,在Windows XP中为C:\Windows\System32)
病毒还会将自己复制在%System%目录下,名为{随机字符}.dll文件。病毒还会试图在任何包含字符“shar”的文件夹中建立本身的副本,副本名称为:winamp5.7new!.exe、ICQ2005a new!.exe。
2、修改注册表项
病毒创建注册表项,使得自身能够在系统启动时自动运行,在HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中添加值“Wxp4”=“%System%\Norton Update.exe”。这样可以在每次开机时自动运行,文件名伪装为Norton的升级程序。
同时,病毒还会在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4,把自身一些信息保存到注册表中的该键内。
3、通过电子邮件传播
病毒电子邮件特征如下:
主题:为下列名称之一
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Joyeux Noel!
