国家计算机病毒应急处理中心通过监测发现，近日出现了病毒Worm_Zafi.B，有用户报告受到感染，但数量不大。由于该病毒必须通过用户双击方能得以运行，提醒用户在了解该病毒基本特征后，谨慎处理电子邮件和在一些特殊文件，就可以有效地避免病毒的发作和传播。
    据介绍，病毒可通过电子邮件和网络共享进行传播。计算机在收到该病毒感染后有可能出现系统性能下降，网络速度减慢，安全防护软件，如杀毒软件、防火墙无法正常运行等现象。 
    有关该病毒的技术报告如下： 
    病毒名称：Worm_Zafi.B 病毒类型：蠕虫 
    感染系统：Win９x/WinMe/WinNT/Win２０００/WinXP/Win２００３ 
    病毒特征： 
    １、生成病毒文件 
    病毒运行后，在%system%文件夹下生成两个自身的拷贝，分别以.exe和.dll作为扩展名。例如：C:\%system%\asdfzxcv.exe和C:\%system%\loujnbgf.dll。同时，病毒在%system%文件夹下生成一些.dll文件，文件名由8个随机字母组成，用于存放在被感染机器上搜索到的邮件地址。（其中，%System%在Windows９５/９８/Me 下为C:\Windows\System，在Windows NT/２０００下为C:\Winnt\System３２，在Windows XP下为 C:\Windows\System３２） 
    ２、修改注册表 
    病毒添加注册表项，使得自身能够在系统启动时自动运行，在HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 下添加"_Hazafibb" =%system%\<随机字母>.exe。例如："_Hazafibb" =%system%\asdfzxcv.exe 
    ３、通过电子邮件传播 
    病毒在被感染计算机以下扩展名的文件中搜索邮件地址（adb、asp、dbx、eml、htm、mbx 、php、pmr、sht、tbb、txt、wab），并使用自带的smtp向这些地址发送带有病毒的电子邮件。以下为病毒邮件的一个实例：主题：Don`t worry, be happy! 附件："www.ecard.com.funny.picture.index.nude.php356.pif"内容：Hi Honey!I`min hurry, but i still love ya...(as you can see onthe picture)Bye - Bye: 
    病毒邮件的发信人地址可能是虚假的，附件的扩展名为.exe、.com或.pif。同时，病毒会避免向一些与反病毒相关的邮件地址发送染毒邮件。 
    ４、通过共享传播 
    病毒可通过文件共享传播，它在包含字符串share或upload 的文件夹下生成自身的副本，并命名为winamp7.0full_install.exe或Total Commander 7.0full_install.exe。
    ５、影响反病毒软件的运行 
    病毒在被感染计算机中搜索已知的一些反病毒软件，找到此类软件所在的文件夹后，病毒会用自身覆盖该文件夹以及其子文件夹下的.exe文件，导致这些程序不能正常运行。为避免通过手工方式对病毒进行清除，病毒会试图终止包含以下字符串的进程，regedit、msconfig和task。 
    清除该病毒的一些建议： 
    １、注册表的恢复 
    点击"开始??〉运行"，输入regedit,运行注册表编辑器，依次双击左侧的HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run ，并删除面板右侧的"_Hazafibb" =%system%\<随机字母>.exe
    ２、删除病毒文件 
    点击"开始??〉查找??〉文件和文件夹"，查找文件winamp 7.0full_install.exe或Total Commander 7.0full_install.exe，并将找到的文件删除。
    ３、运行杀毒软件，对系统进行全面的病毒清除。

    来源：央视国际