Kezdolap  
 
   


W32/Zafi.d@MM

Adatlap

Felfedezés időpontja: 2004. 12. 14.
Eredet: Ismeretlen
Hossz: 11745 bájt
Típus: Vírus
Altípus: e-mail programféreg
Szükséges adatbázis: 4414
Szükséges keresőmotor: 4.3.20


Előfordulás valószínűsége

Vállalati környezet: Közepes
Otthoni felhasználók: Közepes


Tulajdonságok

A Zafi programféreg D variánsa a következő tulajdonságokkal jellemezhető:

  • Saját SMTP rutinját használva terjed
  • hamisítja a fertőzött levelek feladóját
  • a fertőzött számítógépen található címekre küldi magát tovább
  • Az üzenetek magyar nyelven is érkeznek
  • P2P férgekre jellemző viselkedést mutat
  • biztonsági szoftverek folyamatait leállítja

Terjedés e-mailen

A vírus a következő listában szereplő kiterjesztésű fájlokban talált e-mail címekre terjed:

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr
  • fpt
  • inb

Az összegyűjtött e-mailek a system32 könyvtár véletlenszerű névvel és .DLL kiterjesztéssel ellátott fájljaiban tárolódnak. Konkrét példa:

  • c:\WINDOWS\SYSTEM\ckolieqt.dll
  • c:\WINDOWS\SYSTEM\fktnxowp.dll
  • c:\WINDOWS\SYSTEM\gczomkgr.dll
  • c:\WINDOWS\SYSTEM\hgtmrsvo.dll

A programféreg nem küldi el magát a következő karaktersorozatot tartalmazó címekre:

  • yaho
  • google
  • win
  • use
  • info
  • help
  • admi
  • webm
  • micro
  • msn
  • hotm
  • suppor
  • syman
  • viru
  • trend
  • secur
  • panda
  • cafee
  • sopho
  • kasper

Az üzenettörzs karácsonyi üdvözletet tartalmaz. Az előző variánsokhoz hasonlóan a programféreg több nyelven képes üzenetet küldeni, a cél-címzett top-level domainje alapján, például a .COM végződésű domainekre angol, a .DE -re német, a .HU domainekre magyar nyelvű üzenet érkezik.

Terjedés fájlcserélőkön keresztül

A programféreg a C betűjelű meghajtón fellelhető SHARE, UPLOAD és MUSIC karaktersorozatot tartalmazó könyvtárakba másolja magát, a következő neveken:

  • winamp 5.7 new!.exe
  • ICQ 2005a new!.exe

Károkozó rutin

A kézi eltávolítást és azonosítát megnehezítendő, a programféreg futási ideje alatt a következő karaktersorozatot tartalmazó folyamatokat leállítja:

  • reged
  • msconfig
  • task

Emellett személyi tűzfalak és vírusvédelmi szoftverek leállítását is okozza.


Installáció

A fertőzött melléklet futtatása hibaüzenetet eredményez. A felbukkanó ál-hibaüzenet fejléce:

CRC: 04F7Bh

Az ablakban olvasható szöveg:

Error in packed file!

Ezután a programféreg a Windows könyvtár System32 könyvtárába helyezi a következő fájlokat:

  • C:\WINNT\system32\ .EXE - 11,745 bájt
  • C:\WINNT\system32\
  • C:\WINNT\system32\Norton Update.exe - 11,745 bájt
  • C:\WINNT\system32\ .DLL - (worm zippelve)
  • C:\s.cm - 20,552 bájt (winzip dll modul)

A rendszerindításkor a programféreg a következő registry kulcs hatására töltődik be:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Wxp4" = C:\WINDOWS\SYSTEM32\Norton Update.exe

Az alábbi registry kulcs programféreggel kapcsolatos információkat tárolja:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4


A fertőzés folyamata

A programféreg nem használ ki semmilyen biztonsági hiányosságot: a felhasználónak kell a mellékletet, vagy a letöltött fájlt futtatnia.


Eltávolítási utasítások

A programféreg a 4414-es adatbázisok használatávol eltávolítható. A programféreg által a rendszerleíró adatbázisban és fájlokban végzett módosításokat a javasolt adatbázis használata esetén a víruskereső szoftver helyreállítja.

Kézi eltávolítás

1. A Windows Task Manager működésképtelensége miatt a számítógép csökkentett módú újraindítása szükséges.

2. Törölje a "Norton Update.exe" (11745 bájt) fájlt a Windows system32 könyvtárából

3. Távolítsa el a következő registry bejegyzéseket:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
    \CurrentVersion\Run    \ "Wxp4" = C:\WINDOWS\SYSTEM32\Norton Update.exe

----------------------------------------------------------------------------------------
FIGYELMEZTETÉS!

A Registry Editor helytelen használata olyan hibákat eredményezhet, amelyek következtében az operációs rendszert újra kell telepíteni. A Microsoft nem garantálja, hogy esetleges helytelen használat következményei teljes mértékben visszaállíthatók. A Registry Editor-t csak saját felelősségére használja. A regisztrációs adatbázis szerkesztésére vonatkozó bővebb információt a Registry Editor (Regedit.exe) súgójának "Changing Keys and Values" szakaszában talál. Fontos, hogy a változtatások elvégzése előtt mentse a regisztrációs adatbázist. A rendszerleíró adatbázis szerkesztéséhez legalább helyi rendszergazdai jogkör szükséges.
-----------------------------------------------------------------------------------------

4. A programféreg .dll kiterjesztésű másolata, és a véletlenszerűen elnevezett e-mail címek gyűtésére szolgáló .dll fájlok törölhetők a Windows rendszerkönyvtárából.


Névváltozatok

W32/Zafi-D (Sophos)
Nocard.A@mm (Norman)
Email-Worm.Win32.Zafi.d (AVP)
W32.Erkez.D (Symantec)

  A PiK-SYS Kft. által készített dokumentációk és információs anyagok szerzői jogi védelem alatt állnak. (C) PiK-SYS Kft., 2004.