国家计算机病毒应急处理中心通过对互联网的监测，发现通过邮件和网络共享进行传播的新蠕虫病毒Worm_Zafi.d.

据了解，该病毒将自己伪装成圣诞节电子贺卡发给用户，还将自己伪装为新版的聊天工具ICQ2005或音频播放软winamp5.7放到共享目录中，诱使用户打开。

用户运行后，会弹出一个对话框故意报告压缩包损坏，以麻痹用户。病毒会在感染机器上开启一个后门，供远程黑客控制。

病毒名称：Worm_Zafi.D

其他病毒名：

W32/Zafi.d@MM (McAfee)

W32.Erkez.D@mm(Symantec )

WORM_ZAFI.D(Trend Micro)

Worm.Zafi.d(金山)

I-Worm.Zafi.d(瑞星)

I-Worm/Zafi.d(江民)

感染系统：Windows2000，Window98，Windows Me，Windows NT， Windows XP

病毒特征：

1、生成病毒文件

病毒运行后在%System%目录下生成Norton Update.exe和C：s.cm.(其中，%System%为系统文件夹，在默认情况下，在Windows 95／Me中为C：WindowsSystem，在Windows NT/2000中为C：WinntSystem32，在Windows XP中为C：WindowsSystem32)

病毒还会将自己复制在%System%目录下，名为{随机字符}.dll 文件。病毒还会试图在任何包含字符“shar”的文件夹中建立本身的副本，副本名称为：winamp5.7new！。exe、ICQ2005a new！。exe.

2、修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中添加值 “Wxp4”=“%System%Norton Update.exe”。这样可以在每次开机时自动运行，文件名伪装为Norton的升级程序。

同时，病毒还会在HKEY_LOCAL_MACHINESOFTWAREMicrosoft中添加Wxp4，把自身一些信息保存到注册表中的该键内。

3、通过电子邮件传播

病毒电子邮件特征如下：

主题：为下列名称之一

Merry Christmas！

boldog karacsony……

Feliz Navidad！

ecard.ru

Christmas Kort！

Christmas Vykort！

Christmas Postkort！

Christmas postikorti！

Christmas - Kartki！

Weihnachten card.

Prettige Kerstdagen！

Christmas pohlednice

Joyeux Noel！

Buon Natale！

正文：(为以下之一)

Happy HollyDays！

：) [Sender]

Kellemes Unnepeket！

：) [Sender]

Feliz Navidad！

：) [Sender]

：) [Sender]

Glaedelig Jul！

：) [Sender]

God Jul！

：) [Sender]

God Jul！

：) [Sender]

Iloista Joulua！

：) [Sender]

Naulieji Metai！

：) [Sender]

Wesolych Swiat！

：) [Sender]

Fr？hliche Weihnachten！

：) [Sender]

Prettige Kerstdagen！

：) [Sender]

VeseléVánoce！

：) [Sender]

Joyeux Noel！

：) [Sender]

Buon Natale！

：) [Sender]

附件：(包含以下扩展名之一的随机文档名)

。bat

。cmd

。com

。pif

。zip

4、病毒运行

当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候，病毒就会开始运行。为了避免轻易被检测或清除，该病毒会结束以下名称中包含如下字符串的进程：msconfig reged task

5、后门功能

该病毒还具有后门功能，它会打开TCP端口8181，允许远程用户对具有安全漏洞的系统上载文件。

手工清除病毒：

1、结束病毒进程

打开Windows任务管理器，在 Windows95/98/ME 系统上，按下CTRL+ALT+DELETE，在Windows NT/2000/XP系统上，按下CTRL+SHIFT+ESC，并点击进程标签。在运行的程序列表中，找到下面的进程：NORTON UPDATE.EXE ，结束该进程即可。

2、删除病毒文件

右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。 在名称输入框中输入：Norton Update.exe和s.cm，找到文件然后选择删除。

3、修改注册表

打开注册表编辑器。点击开始->运行，输入REGEDIT，依次双击左边的面板中的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows> CurrentVersion>Run，找到右侧面板中“Wxp4”=“%System%Norton Update.exe”，并将其删除。依次双击左边的面板，双击并删除下面的项目HKEY_LOCAL_MACHINE>Software> Microsoft>wxp4.