это почтовый червь. Она также имеет возможность Trojan, выключатели безопасности программах Off, и делает невозможным для запуска утилиты для управления процессами и редактирование базы данных реестра. Он также способен распространяться через P2P-сети.

При запуске, червь создает файл "Нортон Update.exe" и несколько файлов с различными именами и. Расширениями DLL в системную папку (Windows \ System или Windows \ System32) С копиями, а также данные файла C: \ S.cm. Более червь создает свои копии в папках со строкой "Шар" в их названиях. Названы Эти экземпляры "Winamp 5.7 New!. EXE" или "ICQ 2005a New!. EXE". Таким образом, этот червь может распространяться через P2P-сети.

Червь активизируется в Windows запущена из-за реестра пункта ( "Wxp4") в подразделе HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run, Имеющие значение "% System% \ Нортон Update.exe".

Червь пытается связаться с домена microsoft.com прежде чем он начнет распространяться. Таким образом, он считает, если компьютер подключен к Интернету. Она ищет почтовых адресов в файлах с расширениями АБР, ASP, DBX, EML, FPT, HTM, INB, MBX, PHP, PMR, SHT, TBB, TXT WAB и в адресной книге. Найдено адресов хранится в случайные имена файлов с расширением DLL в системной папке.

Zafi-D почту себе найти адреса, за исключением тех, с одной из строк: admi, кафе, EBM, Google, помощь, hotm, информация, Каспер, микро-, MSN, Panda, безопасный, Софо, SUPPOR, Сыман, тенденции, использования, Viru, выиграть или Yahoo в них. Фальшивый адрес отправителя. Тема инфицированы почта является одним из символов:
Boldog Karácsony ...
Buon Natale!
ecard.ru
Feliz Navidad!
Рождество - Kartki!
Карты Рождеством!
Рождественские pohlednice
Postikorti Рождеством!
Рождественские Postkort!
Vykort Рождеством!
С Рождеством!
С Рождеством!
Prettige Kerstdagen!
Weihnachten карты.

Краткое приветствие Рождество в различные Языки находится в теле письма. Вложения содержащих червя имеет одно из расширений: Bat, CMD, COM, PIF, ZIP.

Червь пытается убить процессы с одной из строк MSConfig, Рег, задачи от их имени. В связи с этим, руководитель целевой или редактор реестра баз данных невозможно работать, когда червь активно. Кроме того, папки, содержащие строки cafee, Каспер, Panda, SECUR, Софо, Сыман, тенденции или Виру ищутся, и все EXE-файлы, найденные в них пытались убить.

Червь открывает порт TCP 8181 и ждет входящие соединения.

Avast! с VPS файла от года или после 14 декабря 2004 в состоянии обнаружить этот червь.