Abuse.f

英文名稱：Worm/Abuse.f

中文名稱：“歪風”變種f

病毒長度：51034位元組

病毒類型：蠕蟲

影響平台：Win 9X/ME/NT/2000/XP/2003

MD5 校驗：5d7b9192e073eac6903d06eb690935c6

特徵描述：

“歪風”變種f運行後，會自我複製到被感染系統的“%ProgramFiles%\Common Files\”目錄下，重新命名“SysLive.exe”，檔案屬性設定為“系統、隱藏”。在“%SystemRoot%\fonts\”目錄下釋放惡意DLL組件“*.DLL”（*為隨機5個字母，下同），在“%SystemRoot%\fonts\”和“%USERPROFILE%\Local Settings\”目錄下分別釋放惡意驅動程式“*.fon”和“Temp~*.tmp”。

“歪風”變種f會在被感染系統重新啟動時，用自身替換“%SystemRoot%\system32\dllcache\”和“%SystemRoot%\”目錄下的系統檔案“explorer.exe”，以此實現開機自啟。上述過程完成後，其會將自我刪除，以此消除痕跡。創建新的“svchost.exe”和“iexplorer.exe”進程，將惡意代碼注入其中隱秘運行，提高了自身的隱蔽性。利用釋放的惡意驅動程式關閉指定安全軟體的自我保護功能，同時終止其進程，並通過強行篡改註冊表的方式干擾這些軟體的正常啟動。

其還會篡改hosts檔案，從而阻止被感染系統用戶對某些安全站點進行訪問，防止用戶通過網路獲得病毒的查殺信息。連線駭客指定的站點，獲取惡意程式下載列表“3w.txt”，然後下載檔案中指定的惡意程式並自動調用運行，從而給用戶造成更多的威脅。

其還會訪問指定的頁面，以反饋用戶的感染信息。“歪風”變種f會在被感染計算機的系統盤根目錄下創建“autorun.inf”和蠕蟲主程式檔案副本，檔案屬性設定為“系統、隱藏”，以此實現雙擊盤符後激活蠕蟲的目的，從而給用戶造成更多的威脅。

另外，“歪風”變種f會在被感染系統註冊表啟動項中添加鍵值，以此實現開機自動運行。