英文名称：Worm/Abuse.f

中文名称：“歪风”变种f

病毒长度：51034字节

病毒类型：蠕虫

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5d7b9192e073eac6903d06eb690935c6

特征描述：

Worm/Abuse.f“歪风”变种f是“歪风”家族中的最新成员之一，经过加壳保护处理。“歪风”变种f运行后，会自我复制到被感染系统的“%ProgramFiles%\\Common Files\\”目录下，重新命名“SysLive.exe”，文件属性设置为“系统、隐藏”。在“%SystemRoot%\\fonts\\”目录下释放恶意DLL组件“*.DLL”（*为随机5个字母，下同），在“%SystemRoot%\\fonts\\”和“%USERPROFILE%\\Local Settings\\”目录下分别释放恶意驱动程序“*.fon”和“Temp~*.tmp”。

“歪风”变种f会在被感染系统重新启动时，用自身替换“%SystemRoot%\\system32\\dllcache\\”和“%SystemRoot%\\”目录下的系统文件“explorer.exe”，以此实现开机自启。上述过程完成后，其会将自我删除，以此消除痕迹。创建新的“svchost.exe”和“iexplorer.exe”进程，将恶意代码注入其中隐秘运行，提高了自身的隐蔽性。利用释放的恶意驱动程序关闭指定安全软件的自我保护功能，同时终止其进程，并通过强行篡改注册表的方式干扰这些软件的正常启动。

其还会篡改hosts文件，从而阻止被感染系统用户对某些安全站点进行访问，防止用户通过网络获得病毒的查杀信息。连接骇客指定的站点，获取恶意程序下载列表“3w.txt”，然后下载文件中指定的恶意程序并自动调用运行，从而给用户造成更多的威胁。

其还会访问指定的页面，以反馈用户的感染信息。“歪风”变种f会在被感染计算机的系统盘根目录下创建“autorun.inf”和蠕虫主程序文件副本，文件属性设置为“系统、隐藏”，以此实现双击盘符后激活蠕虫的目的，从而给用户造成更多的威胁。

另外，“歪风”变种f会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。