注意：

以下の説明文では、Windowsオペレーティングシステムがインストールされたディレクトリを%windir% と表記しており、インストール時の設定により異なる場合があります。
%windir% のサブディレクトリである"System"や"System32"は %system% と表記しています。

ワームによって送信されたメールの本文には、クリスマスメッセージが含まれています。メールは、15の異なる言語バージョンがあり、メール受信者のトップレベルドメインによって、言語が選択されます。

以下にメールの例をあげます。

[英語]
件名：Merry Christmas!
本文：Happy Hollydays!
添付ファイル名：postcard

[チェコ語]
件名：Christmas pohlednice
本文：Vesele Vanoce!
添付ファイル名：pohlednice

[デンマーク語]
件名：Christmas Kort!
本文：Glaedelig Jul!
添付ファイル名：ekort

[フィンランド語]
件名：Christmas postikorti!
本文：Iloista Joulua!
添付ファイル名：postikorti

[フランス語]
件名：Joyeux Noel!
本文：Joyeux Noel!
添付ファイル名：carte

[オランダ語]
件名：Prettige Kerstdagen!
本文：Prettige Kerstdagen!
添付ファイル名：kerstdagen

[リトアニア語]
件名：Prettige Kerstdagen!
本文：Naujieji Metai!
添付ファイル名：atviruka

[ハンガリー語]
件名：boldog karacsony...
本文：Kellemes unnepeket!
添付ファイル名：karacsony

[ドイツ語]
件名：Weihnachten card.
本文：Frohliche Weihnachten
添付ファイル名：weihnachten

[ノルウェー語]
件名：Christmas Postkort!
本文：God Jul!
添付ファイル名：postkort

[ポーランド語]
件名：Christmas - Kartki!
本文：Wesolych Swiat!
添付ファイル名：kartki

[ロシア語]
件名：ecard.ru
本文：（なし）
添付ファイル名：card

[スペイン語]
件名：Feliz Navidad!
本文：navidad
添付ファイル名：Feliz Navidad!

[スウェーデン語]
件名：Christmas Vykort!
本文：God Jul!
添付ファイル名：vykort

[イタリア語]
件名：Buon Natale!
本文：Buon Natale!
添付ファイル名：cartoline

添付ファイル名には、ランダムな数字や文字列が付加される場合があります。この添付ファイルの拡張子は、.cmd、 .bat 、.pif、.com、.zip のいずれかです。

このワームが実行されると、自分自身を %system% フォルダに、次のファイル名でコピーします。

"Norton Update.exe"
"[ランダムなファイル名].dll"

このワームが初めて実行される際、偽のエラーメッセージを表示します。

メッセージタイトル："CRC: 04F7Bh"
メッセージ本文： "Error in packed file!"

このワームは、作成したファイルがWindowsの起動時に実行されるように、次のレジストリーに、"Wxp4"というキーを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\MicrosoftWindows\CurrentVersion\Run
"Wxp4"="Norton Update.exe"

このキーは、Win32/Zafi.D の実行可能ファイルへのパスを含んでいます。

このワームは、以下のレジストリキーに、取得した情報を格納します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Wxp4

このワームは、すべてのハードディスクドライブから、"share"、"upload"、"music"の文字列を含むフォルダを検索し、対象フォルダを発見した場合、そのフォルダに自分自身のコピーを次のいずれかのファイル名でコピーします。

"winamp 5.7 new!.exe"
"ICQ 2005a new!.exe"

このワームは、ローカルドライブを検索し、次の拡張子を持つファイルからメールアドレスを取得します。

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

このワームは、取得したメールアドレスに自分自身を送信します。ただし、次の文字列を含むメールアドレスには送信しません。

yahoo
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

Win32/Zafi.D は、次の文字列を含む名前のプロセスを停止させます。

"firewall"
"virus"

このワームは、次のユーティリティの起動を阻止します。

reged
msconfig
task

Win32/Zafi.D は、NOD32アンチウイルスのアドバンスドヒューリスティック機能によって検出されるワームの一つです。
これは、すべてのNOD32ユーザーがこのワームが発生した時点からすでに保護されていることを意味します。

NOD32アンチウイルスは、ウイルス定義ファイルのバージョン1.947にて対応しています。

NOD32アンチウイルスを最新にしてください。コンピュータをインターネットに接続して、NOD32のコントロールセンターの「更新」ボタンをクリックしてください。