英文名称：Worm/Abuse.f

中文名称：“歪风”变种f

病毒长度：51034位元组

病毒类型：蠕虫

影响平台：Win 9X/ME/NT/2000/XP/2003

MD5 校验：5d7b9192e073eac6903d06eb690935c6

特徵描述：

“歪风”变种f运行后，会自我複製到被感染系统的“%ProgramFiles%\Common Files\”目录下，重新命名“SysLive.exe”，档案属性设定为“系统、隐藏”。在“%SystemRoot%\fonts\”目录下释放恶意DLL组件“*.DLL”（*为随机5个字母，下同），在“%SystemRoot%\fonts\”和“%USERPROFILE%\Local Settings\”目录下分别释放恶意驱动程式“*.fon”和“Temp~*.tmp”。

“歪风”变种f会在被感染系统重新启动时，用自身替换“%SystemRoot%\system32\dllcache\”和“%SystemRoot%\”目录下的系统档案“explorer.exe”，以此实现开机自启。上述过程完成后，其会将自我删除，以此消除痕迹。创建新的“svchost.exe”和“iexplorer.exe”进程，将恶意代码注入其中隐秘运行，提高了自身的隐蔽性。利用释放的恶意驱动程式关闭指定安全软体的自我保护功能，同时终止其进程，并通过强行篡改注册表的方式干扰这些软体的正常启动。

其还会篡改hosts档案，从而阻止被感染系统用户对某些安全站点进行访问，防止用户通过网路获得病毒的查杀信息。连线骇客指定的站点，获取恶意程式下载列表“3w.txt”，然后下载档案中指定的恶意程式并自动调用运行，从而给用户造成更多的威胁。

其还会访问指定的页面，以反馈用户的感染信息。“歪风”变种f会在被感染计算机的系统盘根目录下创建“autorun.inf”和蠕虫主程式档案副本，档案属性设定为“系统、隐藏”，以此实现双击盘符后激活蠕虫的目的，从而给用户造成更多的威胁。

另外，“歪风”变种f会在被感染系统注册表启动项中添加键值，以此实现开机自动运行。