Kezdolap  
 
   


W32/Zafi@MM

Adatlap

Felfedezés időpontja: 2004. 04. 19.
Eredet: Magyarország
Hossz: 11176 bájt
Típus: Internet programféreg
Altípus: e-mail
Szükséges adatbázis: 4352
Szükséges keresőmotor: 4.2.40
 

Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes
 

Tulajdonságok

A programféreg bekapcsolt program-heurisztika mellett proaktívan felimerhető a 4250-es, vagy újabb adatbázisok használatával 'New Malware.b' néven.

A programféreg által küldött levél a következőképp ismerhető fel.

Feladó: hamisított, a fertőzött gépen talált cím

Tárgy: kepeslap érkezett!

Üzenettörzs:

Tisztelt felhasználó!

Önnek képeslapja érkezett!
A képeslap feladója: - hamisított feladó -
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellékelt internetlink kattintásával.

Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/

Futtatáskor a programféreg kétszer a %windows könyvtár%\system32 könyvtárba másolja magát véletlenszerű fájlnévvel, .EXE és .DLL kiterjesztéssel.

Például:
  C:\WINNT\system32\bawtsuoc.exe
  C:\WINNT\system32\ylhefsko.dll

Regisrty kulcs biztosítja a programféreg betöltődését a rendszer minden elindulásakor:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\  Windows\CurrentVersion\Run
  "xqmguqdx" = C:\WINDOWS\System32\bawtsuoc.exe I3

Eztuán e-mail címeket keres a merevlemezen, a talált címeket öt, .DLL kiterjesztésű fájlba gyűjtve a system32 könyvtárban.

Például:
  C:\WINNT\system32\dnszokke.dll
  C:\WINNT\system32\eajgrjic.dll
  C:\WINNT\system32\jgehkgju.dll
  C:\WINNT\system32\vipmcylx.dll
  C:\WINNT\system32\wthrwhbu.dll

Ezekre a fájlokra a következő registry kulcsban találhatók hivatkozások:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Hazafi

A progamféreg a következő nevű folyamatokat állítja le:

  • dfw.exe
  • fsav32.exe
  • fsbwsys.exe
  • fsgk32.exe
  • fsm32.exe
  • fssm32.exe
  • fvprotect.exe
  • mcagent.exe
  • navapw32.exe
  • navdx.exe
  • navstub.exe
  • navw32.exe
  • nc2000.exe
  • ndd32.exe
  • netarmor.exe
  • netinfo.exe
  • netmon.exe
  • nmain.exe
  • nprotect.exe
  • ntvdm.exe
  • ostronet.exe
  • outpost.exe
  • pccguide.exe
  • pcciomon.exe
  • regedit.exe
  • regedit32.exe
  • taskmgr.exe
  • tnbutil.exe
  • vbcons.exe
  • vbsntw.exe
  • vbust.exe
  • vsmain.exe
  • vsmon.exe
  • vsstat.exe
  • winlogon.exe
  • zonalarm.exe

 

Tünetek

  • A fent említett állományok és Registry bejegyzések megléte.
  • Váratlanul megnövekedett hálózati forgalom.
  • Védelmi szoftverek, illetve a registry editor működésképtelensége.

 

A fertőzés menete

A programféreg email-en keresztül terjed. Az e-mail semmilyen sebezhetőséget nem használ ki, a felhasználónak kell a vírusos csatolmányt futtatnia.

 

Eltávolítási utasítások

A programféreg detektálására és tisztítására minimálisan a 4352-es adatbázisok szükségesek. Az adatbázisok megjelenéséig a következő extra adatbázis használható. letöltés >>

 

Névváltozatok

I-Worm.Zafi.A (Virusbuster)
  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.