2004. június 14. 17:48, Hétfő
A Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a Zafi.b féregvírust, mert előfordulási gyakorisága megnőtt.
A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt "közepesen veszélyes". A nemrégiben kitört politikai üzenetű Zafi féreg b változata szintén erős social engineering (félrevezető üzenet) segítségével próbálja megtéveszteni a gyanútlan felhasználókat. A vírus jelenlegi változatának szintén van számos magyar nyelvű üzenetet tartalmazó verziója, ezek közül az alábbiak fordulnak elő a leggyakrabban:
Feladó: Anita
Tárgy: Anita
Szöveg:
Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók: Anita
Csatolt állomány: anita.image043.jpg.pif
Feladó: Anita
Tárgy: Ingyen SMS!
Szöveg:
------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küldő szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
lap kitöltése után azonnal igénybevehető! Bővebb információt
a www.777sms.hu oldalon találsz, de siess, mert az első ezer
felhasználó között értékes nyereményeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Feladó: Anita
Tárgy: Tessék mosolyogni!!!
Szöveg:
Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:
Csatolt állomány: meztelen csajok fociznak.flash.jpg.pif
A W32/Zafi.b@MM verzió tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml, .pmr fájlokból összegyűjtött címekre. A vírus nem küldi tovább magát, ha a címben a következő szavak vannak: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win, yaho. A megszerzett címeket a Zafi.B öt, véletlenszerű nevű dll fájlban tárolja a system32 könyvtárban. Például:
C:\WINNT\system32\kenbdplk.dll
C:\WINNT\system32\zibscdes.dll
C:\WINNT\system32\qfafsxoz.dll
C:\WINNT\system32\zhzukrhp.dll
C:\WINNT\system32\sdxsuwxt.dll
A Zafi.b fájlcserélő programok segítségével is terjed: a fertőzött gépen bemásolja magát a share vagy upload kifejezéseket tartalmazó könyvtárakba a C meghajtón, alábbi fájlneveket használva:
Total Commander 7.0 full_install.exe
winamp 7.0 full_install.exe
Ha a csatolt fájlt megnyitják, a féreg kétszer is bemásolja magát a %windir%\system32 könyvtárba, random nevet, .EXE vagy .DLL kiterjesztést használva. Például:
C:\WINNT\system32\jrbtgmqi.exe
C:\WINNT\system32\enfrbatm.dll
Az indításkor az alábbi kulcs segítségével tölti be magát:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run "_Hazafibb" = %windir%\System32\jrbtgmqi.exe
A vírus megkeresi a vírusirtók és tűzfalprogramok könyvtárát, és a benne lévő programfájlokat lecseréli saját magára. További tünetek:
Biztonsági szoftverek működésének megakadályozása
Hálózati és rendszerforgalom lelassítása
Informatika és tudomány