A VirusBuster azonosította a magyar fejlesztésű Zafi vírus új változatát, amely olyan elektronikus levelekben kezdett terjedni, amelyek látszólag a TV2-től érkeznek.
A magyar fejlesztésű Zafi vírus új változata bukkant fel szombat reggel. A vírus a korábbi változataihoz hasonlóan a címzett országtól függően különböző nyelvű (magyar, angol, francia, spanyol, orosz, német, holland, olasz, cseh) üzenetekben képes terjedni. A magyar nyelvű szöveg az alábbi:
"MEGA STAR
!!!!Kedves Felhasználó!!!!
%Feladó% elektronikus üvözlőlapot küldött önnek
Megtekintéséhez kattintson a mellékelt kép hivatkozására, vagy másolja be
a böngésző (Internet Explorer, Netscape Navigator, Mozilla, stb.) címsoroba!
%csatolt fájlra hivatkozás%
A már kézbesített lapokat 3 hétig őrizzük meg!
http://www.tv2.hu"
A féreg továbbá lehetővé teszi, hogy a támadó a gépre csatlakozva (8293-as TCP port) elérje azt, hogy az álatala küldött fájlt a féreg lefutassa.
Amikor a féreg elindul, akkor az alábbi műveleteket hajtja végre:
1. A féreg első indításakor átmásolja magát a %SYSTEM% könyvtár alá a következő néven:
Symantec_Update-[5 véletlenszám].exe.
2. Szintén a %SYSTEM% könyvtár alatt létrehoz 11 fált, melyek nevei a következőek:
[10 véletlen szám]5Z.dll.
Ezen dll-ek közül az egyikbe saját magát másolja. A többibe pedig a későbbiekben majd e-mail címeket gyűjt.
3. A HKLMSoftwareWindowsCurrentVersionRun kulcs __ZF5 bejegyzését létrehozza és az értkének a másolat nevét adja meg. Biztosítva ezzel, hogy minden egyes Windows indításkor elinduljon a féreg is.
4. Elindítja a másolatot
5. Leállítja a futó folyamatok közül a következőket:
nmain.exe
Luall.exe
nod32.exe
gcasDtServ.exe
nod32krn.exe
nod32kui.exe
AVLTMAIN.EXE
MRT.exe
gcasServ.exe
avginet.exe
inetupd.exe
fpavupdm.exe
Updater.exe
pcclient.exe
F-StopW.exe
drwebupw.exe
QH32.EXE
QHM32.EXE
LIVEUP.exe
savmain.exe
savprogess.exe
nod32.exe
bdmcon.exe
bdlite.exe
McUpdate.exe
mcmnhdlr.exe
VBInstTmp.exe
vbcmserv.exe
vbcons.exe
fspex.exe
Valamint leállítja a Windows beépített tűzfalát.
6. Bejárja a könyvtárszerkezetet a és minden
Share
Upload
Music
Startup
7. Nevű könyvtárba bemásolja magát a következő nevek egyikén:
-Adobe Acrobat 8.0.exe
-Divx Player 7.0.exe
8. Ezen felül email címeket keres a következő kiterjesztésű fájlokban:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
9. A kigyűjtött címek utolsó két karakterétől függően választja meg az elküldendő levél nyelvét. A levelek a következőek lehetnek:
Magyar:
Tárgy: !!!! e-udvozlet !!!!
Feladó: Hamisított
Levél:
MEGA STAR
!!!!Kedves Felhasználó!!!!
%Feladó% elektronikus üvözlőlapot küldött önnek
Megtekintéséhez kattintson a mellékelt kép hivatkozására, vagy másolja be
a böngésző (Internet Explorer, Netscape Navigator, Mozilla, stb.) címsoroba!
%csatolt fájlra hivatkozás%
A már kézbesített lapokat 3 hétig őrizzük meg!
http://www.tv2.hu
ImageSize: 15Kb
Virus & Spam Scan:
Angol:
Tárgy: ,,,, Star Wars Greeting ,,,,
Feladó: %Hamisított%
Levél:
STAR WARS
,,,, Hi there ,,,,
There's a star wars postcard waiting for you, from %Felado%.
Just click the link below to pick up your personal message:
%csatolt fájlra hivatkozás%
(If you cannot view the image by clicking on the link, copy and paste
the attachment picture into your browser).
Best regards: http://www.jedinet.com
ImageSize: 15Kb
Virus & Spam Scan:
10. A levelek csatolmányában küldi magát tovább. A levelek csatolmányának kitejesztése a következő lehet: .cmd, .scr, .pif, .com, .zip
Manuális eltávolítás:
Indítsuk újra a gépet csökkentett módban.
Töröljük az összes fertőzött állományt.
Töröljük a HKLMSoftwareMicrosoft__ZF5 kulcsot.
Töröljük a HKLMSoftwareMicrosoftCurrentVersionRun kulcs alól a __ZF5 bejegyzést.
Forrás : Biztonságportál