Zafi.b es un gusano que envía correos electrónicos masivos que, al ejecutarse, se copia a sí mismo dos veces en la carpeta %windir%\system32 utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano crea una clave de registro, de modo que los archivos infectados se ejecutan cada vez que se enciende un computador infectado. Zafi.b también puede buscar directorios de software antivirus y personal firewall y sobrescribir los ejecutables con una copia de sí mismo. Los usuarios deben eliminar inmediatamente cualquier mensaje de correo electrónico que incluya lo siguiente:

De: (la dirección De está falsificada) El gusano busca direcciones de correo electrónico en el disco duro local, recopilando direcciones de correo de archivos con las siguientes extensiones: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Las direcciones recopiladas se guardan en cinco archivos en la carpeta system32, utilizando nombres aleatorios y la extensión de archivo .DLL. Asunto: Re: (asunto original) El mensaje puede contener diversos asuntos y cuerpos del mensaje.

Después de ejecutarse, Zafi.b se copia a sí mismo dos veces en la carpeta %windir%\system32, utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano hace copias de sí mismo en los directorios de la unidad C: que contengan una de las siguientes cadenas: share o upload y utiliza uno de los siguientes nombres de archivo: Total Commander 7.0 full_install.exe o winamp 7.0 full_install.exe. En un intento de impedir la identificación y limpieza manuales de una máquina infectada, el gusano también trata de terminar procesos.