[W32/Zafi.B]
[Leírás]

Egyéb neve:
W32/Zafi.B@mm, I-Worm.Zafi.b

Típus:
Win32 féreg

W32/Zafi.B egy e-maileken keresztül terjedõ vírus, mely saját magát küldi szét az interneten az összes olyan címre mely a számítógépen található, a címjegyzékben, vagy bármely file-ban. Az eredeti Zafi.A csak magyar nyelû e-maileket küldött a címzetteknek, míg a Zafi.B változat már Angolul, Oroszul, spanyolul is írhat.

Mikor a Zafi.B vírus elindul teljesen random néven .dll és .exe kiterjesztéssel másolja be magát a Windows könyvtárba.
Az autómatikus indítást a következõ registry bejegyzéssel éri el:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_Hazafibb" = "%SysDir%\<random>.exe"

Ezen kívül még sok változó névvel ellátott .exe és .dll kiterjesztéssel rendelkezõ filet helyez el. A vírus ezekben tartja az adat bázisát.
A Zafi.B vírus össze számolja a könyvtárakat a rendszerben és az összes olyan könyvtárba mely "share" vagy "upload" névre hallghat behelyez egy 'winamp 7.0 full_install.exe' vagy 'Total Commander 7.0 full_install.exe' filet mely saját maga másolata.

W32/Zafi.B vírus a következõ file típusokban keresi az e-mail címeket:
htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr

A vírus saját SMTP motorral rendelkezik, így nincs szüksége arra, hogy szolgáltatókat használjon e-mail kiküldésre.

A megszerzett e-mail címeknek megfelelõ nyelven ír, a nyelvet a domain meghatározásával végzi.

A következõ TLD-kre tud megfelelõ nyelven levelet küldeni:
.hu .sp .ru .dk .ro .se .no .fi .lt .pl .pt .de .nl .cz .fr .it .mx .at

Minden más címzett Angol nyelven kap levelet.

Az e-mailek következõ képpen néznek ki (nem az összes verzió látható itt):

küldő: Anita
Tárgy: eIngyen SMS!
Csatolt állomány: "regiszt.php?3124freesms.index777.pif"


------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
lap kitöltése után azonnal igénybevehet?! B?vebb információt
a www.777sms.hu oldalon találsz, de siess, mert az els? ezer
felhasználó között értékes nyereményeket sorsolunk ki!
------------------------ axelero.hu ---------------------------


küldő: Anita
Tárgy: eTessek mosolyogni!!!
Csatolt állomány: "meztelen csajok fociznak.flash.jpg.pif"


Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:


küldő: Anita
Tárgy: eSoxor Csok!
Csatolt állomány: "anita.image043.jpg.pif"


küldő: Claudia
Tárgy: eImportante!
Csatolt állomány: "link.informacion.phpV23.text.message.pif"


Informacion importante que debes conocer, -


küldő: Katya
Tárgy: oKatya
Csatolt állomány: "view.link.index.image.phpV23.sexHdg21.pif"


ADAOIU
OEIE


küldő: .
Tárgy: eE-Kort!
Csatolt állomány: "link.ekort.index.phpV7ab4.kort.pif"


Mit hjerte banker for dig!


küldő: Marica
Tárgy: eEcard!
Csatolt állomány: "link.showcard.index.phpAv23.ritm.pif"


De cand te-am cunoscut inima mea are un nou ritm!


küldő: Anna
Tárgy: eE-vykort!
Csatolt állomány: "link.vykort.showcard.index.phpBn23.pif"


Till min Alskade...


küldő: Erica
Tárgy: eE-Postkort!
Csatolt állomány: "link.postkort.showcard.index.phpAe67.pif"


Vakre roser jeg sammenligner med deg...


küldő: Katarina
Tárgy: eE-postikorti!
Csatolt állomány: "link.postikorti.showcard.index.phpGz42.pif"


Iloista kesaa!


küldő: Magdolina
Tárgy: eAtviruka!
Csatolt állomány: "link.atviruka.showcard.index.phpGz42.pif"


Linksmo gimtadieno!


küldő: Beate
Tárgy: eE-Kartki!
Csatolt állomány: "link.kartki.showcard.index.phpVg42.pif"


W Dniu imienin...


küldő: @
Tárgy: eCartoe Virtuais!
Csatolt állomány: "link.cartoe.viewcard.index.phpYj39.pif"


Te amo...


küldő: Alice
Tárgy: eFlashcard fuer Dich!
Csatolt állomány: "link.flashcard.de.viewcard34.php.2672aB.pif"


Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...


küldő:
Tárgy: eEr staat een eCard voor u klaar!
Csatolt állomány: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"


Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...


küldő: Hanka
Tárgy: eElektronicka pohlednice!
Csatolt állomány: "link.seznam.cz.pohlednice.index.php2Avf3.pif"


Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz


küldő: Claudine
Tárgy: eE-carte!
Csatolt állomány: "link.zdnet.fr.ecarte.index.php34b31.pif"


vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...


küldő: Francesca
Tárgy: eTi e stata inviata una Cartolina Virtuale!
Csatolt állomány: "link.cartoline.it.viewcard.index.4g345a.pif"


Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.


küldő: Jennifer
Tárgy: eYou`ve got 1 VoiceMessage!
Csatolt állomány: "link.voicemessage.com.listen.index.php1Ab2c.pif"


Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).


Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók:


küldő: Jennifer
Tárgy: eDon`t worry, be happy!
Csatolt állomány: "www.ecard.com.funny.picture.index.nude.php356.pif"


Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:


küldő: David
Tárgy: eCheck this out kid!!!
Csatolt állomány: "jennifer the wild girl xxx07.jpg.pif"


Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

Ritka esetekben az e-mail egy teljesen más nevû csatolt állományt tartalmazhat 'Surprise' névvel és '.com', '.exe' vagy '.pif' kiterjesztéssel.

A féreg a következõ tartalmú e-mailekre nem küldi el magát::

win, use, info, help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend, panda, yaho, cafee, sopho, google, kasper

További tevékenység:

Zafi.B minden olyan programot mely a 'firewall' vagy 'virus' szót nevében tartalmazza leállít. Majd a filejait a vírus saját példányaival helyettesíti.

Elég sok Windows alkalmazás például mint Task Manager, Registry szerkesztõ elérhetetlenné vállik a vírus aktiválódásakor.

Eltávolításhoz a következõ F-secure alkalmazást ajánljuk:

Zafi.B eltávolító .exe formában f-zafi.exe
Zafi.B eltávolító .zip formában f-zafi.zip

 

Forrás: www.sophos.com
fordítva: {Dudu}