病毒别名：W32.Erkez.D@mm[诺顿] WORM_ZAFI.D[趋势] Email-Worm.Win32.Zafi.d[AVP]

处理时间：

威胁级别：★★★

中文名称：灾飞D

病毒类型：蠕虫

影响系统：Win9x / WinNT

病毒行为:

该蠕虫通过邮件和网络共享进行传播。病毒将自己伪装为圣诞节电子贺卡，发给找到的电子邮箱地址中。病毒还将自己伪装为新版的聊天工具 ICQ 2005 或 音频播放软件 winamp 5.7 放到共享目录中，诱使用户打开。用户运行后，会弹出一个对话框故意报告压缩包损坏，以麻痹用户。病毒会在感染机器上开启一个后门，供远程黑客控制。

病毒发送的邮件：

运行后，弹出欺骗性对话框：

1、病毒生成以下文件

%System%\orton Update.exe （病毒本身）

%System%\\%8位随机字母%.dll （保存找到的邮件地址）

%System%\\%8位随机字母%.dll （大小11873 自身的压缩包）

C:\\s.cm （日志文件）

2、查找有shar字符的目录，并复制自身为以下文件名之一：

winamp 5.7 new!.exe

ICQ 2005a new!.exe

3、在注册表中添加启动键值：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run

"Wxp4" = "%System%\orton Update.exe"

这样可以在每次开机时自动运行，文件名伪装为 Norton 的升级程序。

4、将自身一些信息保存到注册表中的如下键内：

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Wxp4

5、尝试通过80端口连接 microsoft.com 网站

6、创建互斥量：

Wxp4

保证只有一个进程运行

7、终止含有以下字符的进程

reged

msconfig

task

syman

viru

trend

secur

panda

cafee

sopho

kasper

这样注册表管理器、任务管理器、MS配置程序、杀毒软件都无法运行，给清除病毒带来不便。

8、开启 TCP8181 端口，作为后门

9、从以下扩展名文件中查找可能的电子邮件地址：

htm

wab

txt

dbx

tbb

asp

php

sht

adb

mbx

eml

pmr

fpt

inb

10、如果找的电子邮件地址有以下字符，则不发送：

yaho

google

win

use

info

help

admi

ebm

micro

msn

hotm

suppor

syman

viru

trend

secur

panda

cafee

sopho

kasper

11、病毒邮件的主题为以下之一：

Merry Christmas!

boldog karacsony...

Feliz Navidad!

ecard.ru

Christmas Kort!

Christmas Vykort!

Christmas Postkort!

Christmas postikorti!

Christmas - Kartki!

Weihnachten card.

Prettige Kerstdagen!

Christmas pohlednice

Joyeux Noel!

Buon Natale!

12、邮件内容为：

:) %发件人名称%

http://%邮箱域名%/附件名.%jpg或gif%%随机4位数字% - Picture Size: 11 KB, Mail: +OK

13、附件为病毒，其扩展名可能为以下之一：

.bat

.cmd

.com

.pif

.zip