Win32.Zafi.D（扎非）病毒

Windows 2000,Windows 98,Windows Me,Windows NT,Windows XP

病毒運行後在%System%目錄下生成Norton Update.exe和C:\s.cm。

（其中，%System%為系統資料夾，在默認情況下，在Windows 95/98/Me

中為 C:\Windows\System、在Windows NT/2000中為C:\Winnt\System32、

在Windows XP中為C:\Windows\System32）

病毒還會將自己複製在%System%目錄下，名為{隨機字元}.dll 檔案。

病毒還會試圖在任何包含字元「shar」的資料夾中建立本身的副本，副本名

稱為：winamp 5.7 new!.exe 、ICQ 2005a new!.exe。

病毒創建註冊表項，使得自身能夠在系統啟動時自動運行，在HKEY_LOCAL_MACHINE\

Software\Microsoft\Windows\CurrentVersion\Run中添加值"Wxp4" = "%System%\Norton Update.exe"。這樣可以在每次開機時自動運行，檔案

名偽裝為 Norton 的升級程式。

同時，病毒還會在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\中添加Wxp4，把自身一些信息保存到註冊表中的該鍵內。

病毒電子郵件特徵如下：

主題：(為下列名稱之一)

Merry Christmas!

boldog karacsony...

Feliz Navidad!

ecard.ru

Christmas Kort!

Christmas Vykort!

Christmas Postkort!

Christmas postikorti!

Christmas - Kartki!

Weihnachten card.

Prettige Kerstdagen!

Christmas pohlednice

Joyeux Noel!

Buon Natale!

正文：（為以下之一）

Happy HollyDays!

：） [Sender]

Kellemes Unnepeket!

：） [Sender]

Feliz Navidad!

：） [Sender]

：） [Sender]

Glaedelig Jul!

：） [Sender]

God Jul!

：） [Sender]

God Jul!

：） [Sender]

Iloista Joulua!

：） [Sender]

Naulieji Metai!

：） [Sender]

Wesolych Swiat!

：） [Sender]

Fr?hliche Weihnachten!

：） [Sender]

Prettige Kerstdagen!

：） [Sender]

Veselé Vánoce!

：） [Sender]

Joyeux Noel!

：） [Sender]

Buon Natale!

：） [Sender]

附屬檔案：（包含以下擴展名之一的隨機文檔名）

.bat

.cmd

.com

.pif

.zip

當病毒發出的郵件被閱讀或者共享驅動器中的檔案被激活的時候，病毒就會開始運行。病毒在運行的時候會顯示如下訊息框：

為了避免輕易被檢測或清除，該病毒會結束以下名稱中包含如下字元串的進程：

msconfig

reged

task

該病毒還具有後門功能，它會打開TCP連線埠8181，允許遠程用戶對具有安全漏洞的系統上載檔案。

手工清除病毒：

1、 結束病毒進程

打開Windows任務管理器，在 Windows 95/98/ME 系統上，按下

CTRL+ALT+DELETE

在 Windows NT/2000/XP 系統上，按下CTRL+SHIFT+ESC，並點擊進程標籤

在運行的程式列表中，找到下面的進程：NORTON UPDATE.EXE ，結束該進程，即可。

2、刪除病毒檔案

右擊開始，點擊搜尋或尋找，這取決於當前運行的Windows版本。在名稱輸入框中，輸入：Norton Update.exe和s.cm ，找到檔案然後選擇刪除。

3、修改註冊表

打開註冊表編輯器。點擊開始->；運行，輸入REGEDIT，依次雙擊左邊的面板中HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，找到右側面板中"Wxp4" = "%System%\Norton Update.exe"，並將其刪除。

依次雙擊左邊的面板，雙擊並刪除下面的項目

HKEY_LOCAL_MACHINE>Software>Microsoft>wxp4

區域網路安全的新“夢魘"

技術人員十分詫異，“我們的內部網路跟外界網際網路是完全物理隔離的，不可能有病毒的入侵！”

近一段時間許多企業電腦系統中DOC後綴的WORD文檔神秘失蹤，尤其是很多機密資料不翼而飛，對企業的正常運營造成了很大的影響。技術人員對相關的內部網路進行了調查後發現，其區域網路絡感染了一個名為“WORD文檔殺手”（Trojan/DelDoc）的新病毒，該病毒發作後，可以將終端用戶的WORD文檔逐個刪除，所有windows版本無一倖免。

該病毒採用VB語言編寫，病毒主體檔案為 c:\windows\doc.exe 或者 c:\windows\doc1.exe。病毒運行後，會採用原始的手段，在C糟根目錄下生成病毒檔案 c:\ww.bat， 該檔案內含有批處理程式：dir *.doc /a/b/s >>c:\ww.txt。病毒可以將硬碟里所有的DOC文檔建立一個列表，按照一定的的路徑，逐一將這些DOC檔案移動到Windows下的某個目錄，並將檔案擴展名改為.COM。同時此病毒還能修改註冊表鍵值，以達到隱藏擴展名的目的。

東方衛士的安全專家解釋說：此病毒能自我載入到隨身碟的自動運行檔案里。這樣，一旦用戶將感染了該病毒的隨身碟接入任何單位內部網路的任何一台電腦，WORD文檔殺手病毒就會自動運行，導致所有WORD文檔神秘失蹤。不僅是隨身碟，如果筆記本，移動硬碟沒有經過病毒查殺直接接入內部網路，或者內部網路的某台機器違規撥號進入網際網路也能導致病毒入侵區域網路，給企業帶來意想不到的巨大損失。

長捷信息提醒廣大的企業用戶，應當及時安裝“區域網路安全管理系統”，對移動存儲設備進行安全審計和病毒查殺後再接入區域網路。並且為區域網路的終端用戶及時添加系統補丁，防止違規撥接的發生。這樣才能有效地配合防火牆、漏洞掃描、防病毒、IDS等安全設備，切實保障企業的信息安全。