Worm_Zafi.B

病毒名称：Worm_Zafi.B病毒类型：蠕虫

感染系统：Win9x/WinMe/WinNT/Win2000/WinXP/Win2003

病毒特征：

1、生成病毒文件

病毒运行后，在ystem%文件夹下生成两个自身的拷贝，分别以.exe和.dll作为扩展名。例如：C:ystem%sdfzxcv.exe和C:ystem0ujnbgf.dll。同时，病毒在ystem%文件夹下生成一些.dll文件，文件名由8个随机字母组成，用于存放在被感染机器上搜索到的邮件地址。(其中，%System%在Windows95/98/Me下为C:WindowsSystem，在Windows NT/2000下为C:WinntSystem32，在Windows XP下为C:WindowsSystem32)

2、修改注册表

病毒添加注册表项，使得自身能够在系统启动时自动运行，在HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun下添加"_Hazafibb" =ystem%<随机字母>.exe。例如："_Hazafibb" =ystem%sdfzxcv.exe

3、通过电子邮件传播

病毒在被感染计算机以下扩展名的文件中搜索邮件地址(adb、asp、dbx、eml、htm、mbx、php、pmr、sht、tbb、txt、wab)，并使用自带的smtp向这些地址发送带有病毒的电子邮件。以下为病毒邮件的一个实例：主题：Don`t worry, be happy!附件："www.ecard.com.funny.picture.index.nude.php356.pif"内容：Hi Honey!I`min hurry, but i still love ya...(as you can see onthe picture)Bye - Bye:

病毒邮件的发信人地址可能是虚假的，附件的扩展名为.exe、.com或.pif。同时，病毒会避免向一些与反病毒相关的邮件地址发送染毒邮件。

4、通过共享传播

病毒可通过文件共享传播，它在包含字符串share或upload的文件夹下生成自身的副本，并命名为winamp7.0full_install.exe或Total Commander 7.0full_install.exe。

5、影响反病毒软件的运行

病毒在被感染计算机中搜索已知的一些反病毒软件，找到此类软件所在的文件夹后，病毒会用自身覆盖该文件夹以及其子文件夹下的.exe文件，导致这些程序不能正常运行。为避免通过手工方式对病毒进行清除，病毒会试图终止包含以下字符串的进程，regedit、msconfig和task。

清除该病毒的一些建议：

1、注册表的恢复

点击"开始??〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run，并删除面板右侧的"_Hazafibb" =ystem%<随机字母>.exe

2、删除病毒文件

点击"开始??〉查找??〉文件和文件夹"，查找文件winamp 7.0full_install.exe或Total Commander 7.0full_install.exe，并将找到的文件删除。

3、运行杀毒软件，对系统进行全面的病毒清除。