病毒名称

感染系统

病毒特征(生成病毒文件 修改注册表项 通过电子邮件传播 病毒运行 后门功能)

病毒名称

Win32 .Zafi.D ( 扎非)

W32/Zafi.d@MM （McAfee）

W32.Erkez.D@mm（Symantec）

WORM_ZAFI.D(Trend Micro)

Worm.Zafi.d（金山）

I-Worm.Zafi.d（瑞星）

I-Worm/Zafi.d(江民)

感染系统

Windows 2000, Windows 98, Windows Me, Windows NT, Windows XP

病毒特征

生成病毒文件

病毒运行后在%System％目录下生成Norton Update.exe和C:\\s.cm。

（其中，%System%为系统文件夹，在默认情况下，在Windows 95/98/Me

中为 C:\\Windows\\System、在Windows NT/2000中为C:\\Winnt\\System32、

在Windows XP中为C:\\Windows\\System32）

病毒还会将自己复制在%System％目录下，名为{随机字符}.dll 文件。

病毒还会试图在任何包含字符「shar」的文件夹中建立本身的副本，副本名

称为:winamp 5.7 new!.exe 、ICQ 2005a new!.exe。

修改注册表项

病毒创建注册表项，使得自身能够在系统启动时自动运行，在HKEY_LOCAL_MACHINE\\

Software\\Microsoft\\Windows\\CurrentVersion\\Run中添加值"Wxp4" = "%System%\orton Update.exe"。这样可以在每次开机时自动运行，文件

名伪装为 Norton 的升级程序。

同时，病毒还会在HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\中添加Wxp4，把自身一些信息保存到注册表中的该键内。

通过电子邮件传播

病毒电子邮件特征如下：

主题:(为下列名称之一)

Merry Christmas!

boldog karacsony...

Feliz Navidad!

ecard.ru

Christmas Kort!

Christmas Vykort!

Christmas Postkort!

Christmas postikorti!

Christmas - Kartki!

Weihnachten card.

Prettige Kerstdagen!

Christmas pohlednice

Joyeux Noel!

Buon Natale!

正文:(为以下之一)

Happy HollyDays!

:) [Sender]

Kellemes Unnepeket!

:) [Sender]

Feliz Navidad!

:) [Sender]

:) [Sender]

Glaedelig Jul!

:) [Sender]

God Jul!

:) [Sender]

God Jul!

:) [Sender]

Iloista Joulua!

:) [Sender]

Naulieji Metai!

:) [Sender]

Wesolych Swiat!

:) [Sender]

Fr?hliche Weihnachten!

:) [Sender]

Prettige Kerstdagen!

:) [Sender]

Veselé Vánoce!

:) [Sender]

Joyeux Noel!

:) [Sender]

Buon Natale!

:) [Sender]

附件:(包含以下扩展名之一的随机文档名)

.bat

.cmd

.com

.pif

.zip

病毒运行

当病毒发出的邮件被阅读或者共享驱动器中的文件被激活的时候，病毒就会开始运行。病毒在运行的时候会显示如下消息框：

为了避免轻易被检测或清除，该病毒会结束以下名称中包含如下字符串的进程：

msconfig

reged

task

后门功能

该病毒还具有后门功能，它会打开TCP端口8181，允许远程用户对具有安全漏洞的系统上载文件。

手工清除病毒：

1、 结束病毒进程

打开Windows任务管理器,在 Windows 95/98/ME 系统上, 按下

CTRL+ALT+DELETE

在 Windows NT/2000/XP 系统上, 按下CTRL+SHIFT+ESC, 并点击进程标签

在运行的程序列表中，找到下面的进程：NORTON UPDATE.EXE ，结束该进程，即可。

2、删除病毒文件

右击开始，点击搜索或寻找，这取决于当前运行的Windows版本。 在名称输入框中，输入：Norton Update.exe和s.cm ，找到文件然后选择删除。

3、修改注册表

打开注册表编辑器。点击开始->运行，输入REGEDIT，依次双击左边的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，找到右侧面板中"Wxp4" = "%System%\orton Update.exe"，并将其删除。

依次双击左边的面板,双击并删除下面的项目

HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4

内网安全的新“梦魇"

技术人员十分诧异，“我们的内部网络跟外界互联网是完全物理隔离的，不可能有病毒的入侵！”

近一段时间许多企业电脑系统中DOC后缀的WORD文档神秘失踪，尤其是很多机密资料不翼而飞，对企业的正常运营造成了很大的影响。技术人员对相关的内部网络进行了调查后发现，其内网络感染了一个名为“WORD文档杀手”（Trojan/DelDoc）的新病毒，该病毒发作后，可以将终端用户的WORD文档逐个删除，所有windows版本无一幸免。

该病毒采用VB语言编写，病毒主体文件为 c:\\windows\\doc.exe 或者 c:\\windows\\doc1.exe。病毒运行后，会采用原始的手段，在C盘根目录下生成病毒文件 c:\\ww.bat， 该文件内含有批处理程序： dir *.doc /a/b/s >>c:\\ww.txt。病毒可以将硬盘里所有的DOC文档建立一个列表，按照一定的的路径,逐一将这些DOC文件移动到Windows下的某个目录,并将文件扩展名改为.COM。同时此病毒还能修改注册表键值，以达到隐藏扩展名的目的。

东方卫士的安全专家解释说：此病毒能自我加载到U盘的自动运行文件里。这样，一旦用户将感染了该病毒的U盘接入任何单位内部网络的任何一台电脑，WORD文档杀手病毒就会自动运行，导致所有WORD文档神秘失踪。不仅是U盘，如果笔记本，移动硬盘没有经过病毒查杀直接接入内部网络，或者内部网络的某台机器违规拨号进入互联网也能导致病毒入侵内网，给企业带来意想不到的巨大损失。

长捷信息提醒广大的企业用户，应当及时安装“内网安全管理系统”，对移动存储设备进行安全审计和病毒查杀后再接入内网。并且为内网的终端用户及时添加系统补丁，防止违规拨号上网的发生。这样才能有效地配合防火墙、漏洞扫描、防病毒、IDS等安全设备，切实保障企业的信息安全。