简介

特征

防范方法

简介

2004年12月15日，离2004年圣诞节还有10天，以祝贺圣诞名义在网上大肆传播的病毒被江民反病毒中心截获。该病毒系“灾飞”蠕虫最新变种I-Worm/Zafi.d。病毒在计算机上搜索电子邮件地址，利用其自带的SMTP引擎通过发送带毒电子邮件，并以不同国家的语言向外发送主题为“圣诞节快乐”的病毒文件，以诱惑人们点击。病毒还会在感染电脑上开启后门端口，通过P2P工具传播。

特征

病毒运行后，在C盘根目录下创建c:\\s.cm，在系统文件下创建norton update.exe和一个.dll文件。显示一文件出错对话框，修改注册表添加启动项，以使自己与Windows同时启动。病毒还会将自身复制到名字包含"shar"字样的文件夹中，同时尝试终止注册表编辑器、Msconfig、任务管理器和多种杀毒软件进程，并尝试连接微软网站microsoft.com。病毒还会感染机器上开启后门端口8181，接收黑客命令。

最后，在计算机上搜集电子邮件地址，保存在%SystemDir%\\[随机8字符名称].dll文件中，并利用其自带的SMTP引擎发送带毒电子邮件。

病毒发送的邮件特征如下：

发信人：<伪造>

主题：下列之一：

Merry Christmas!

boldog karacsony...

Feliz Navidad!

ecard.ru

Christmas Kort!

Christmas Vykort!

Christmas Postkort!

Christmas postikorti!

Christmas - Kartki!

Weihnachten card.

Prettige Kerstdagen!

Christmas pohlednice

Joyeux Noel!

Buon Natale!

正文为不同国家语言版本的圣诞快乐的祝贺语。

附件：就是病毒体，扩展名可能为bat， cmd， com， pif， zip。

防范方法

江民反病毒专家提醒用户，请您在收到符合上述描述的电子邮件时千万不要点击运行附件程序，并立即升级KV系列杀毒软件到12月15日病毒库，即可全面查杀该病毒，保护您的系统不受其侵害。

江民反病毒专家介绍，以祝贺圣诞的名义传播自己的病毒并非首次被发现，早在2000年圣诞前夕，一个名为“NAVIDAD”的病毒就借祝贺圣诞节名义在网上大肆传播，给全球电脑用户带来巨大损失。

针对该病毒，江民公司已由第一时间升级了病毒库，并公布了病毒技术分析报告，请广大电脑用户立即升级KV系列杀毒软件病毒库，开启病毒实时监控，防御病毒于系统之外。