Zafi-C: Google, Microsoft, Gyurcsány

Geza Papp, 2004. október 28. 22:04
2004. október 27-én, tegnap 19 óra körül észlelte és identifikálta szinte elsőként a Sophos Plc. a Zafi-C vírust. Ez a "kis jószág", mely W32/Zafi.C@mm, I-Worm.Zafi.c "nevekre is hallgat", 15993 byt hosszú, a magyar Zafi "mass mailing worm" féregcsalád tagja. Levelek tömegét küldi el a fertőzött gépekről, különböző nyelveken - közöttük magyarul is. Analizálása során megállapították, hogy "szolgáltatástagadás" DDoS támadást készít elő részben a microsoft.com, a google.com és Gyurcsány Ferenc, a magyar miniszterelnök lapja, a www.miniszterelnok.hu ellen.
W32/Zafi-C, hálózati féreg, mely e-maileken terjed, mely fertőzés a Windows operációs rendszereket érinti.

A fertőzés hatásai - röviden:


A Sophos antivírus védelme elérhető 2004. október 27. 19:51:19 - óta (GMT)

W32/Zafi-C egy mass mailing (tömeges levélküldő; spammer) e-mail féreg.

Amikor először fut, a W32/Zafi-C bemásolja magát az Windows system folderbe a svchost.com. fájlnéven. Azzal a céllal, hogy a rendszer elindulásával azonos időben a féreg is működjön, az alábbi registry bejegyzést alkotja:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
_svchost.con = \svchost.com


A W32/Zafi-C a címeket a merevlemezek alábbi kiterjesztésű állományaiból gyűjti össze:

ADB, ASP, DBX, EML, HTM, MBX, PHP, PMR, SHT, TBB, TXT, WAB

A féreg nem küld levelet olyan címekre, melyek az alábbi karaktersorokat tartalmazzák:

aol
cafee
google
help
hoo.com
hotmail.co
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
vir
webm


A W32/Zafi-C által küldött levelekre az alábbiak lehetnek a jellemzőek:

Tárgy sor:

Network monitoring!
Please, send forward this letter!
Re: Please, send forward this letter!
Re: full time job for you!
Re: job details!
free mp3 list!
Re: very sick little girl!
Re: Your lover!
Re: CNM, Technology Company!
waiting for you!
Re: Expectant CoWorker!
Re: Can you!
Re: Hey buddy!
Re: offer!
send forward!
Re: call us back!
I`m off!
Thank you!
Re: please read!
Re: David Morgen, Office Manager!
Please,thanks!!
Re: give a little hope!

Megjegyzés: A levél tárgyai lehetnek esetleg részletek a levél szövegéből is.

A levelek szövege lehet:

Dear Expectant CoWorker!
We are offering a full time job for you.
Our company (CNM, Technology Company, 2004)
is the third fastest growing technology company in 2004.
Job Type: System and Network monitoring.
Requirements: Windows XP, 2000, 98 minimal expertise,
and networking skills.
If you accept our offer, please read the job details
document for the full description, and call us back.
Thank you,
David Morgen, Office Manager (CNM, Tech. 2004)
Email:

Ich hab dich so lieb!

Tisztelt Leendo Munkatars!
Onnek allast kinal a CNM, Media Services Kft,
informatikai rendszerfigyelo pozicio betoltesere.
Cegunk Magyarorszag egyik jelentos informatikai vallalata,
melyhez informatikaban jartas embereket keresunk.
Alapkovetelmenyek: Windows XP, 2000, valamint 98 halozati
ismeretek, valamint alapfoku angol tudas. Amenyiben elfogadja
ajanlatunkat, kerem olvassa el a reszleteket es jelezzen
vissza a mielobbi egyuttmukodes celjaert.
Tisztelettel: Takacs Laszlo, irodavezeto.
Email:

Please, send forward this letter, and you can give a little hope
to a very sick little girl, who is dying in the hospital, in 2004.
Please read the full story, and send forward!!
(xxxx)

Your lover is waiting for you tomorrow, so please hurry,hurry because..
(xxxx)

Miss you baby!
Whats you doing tomorrow? I`m off, so... I thought maybe we can...
Call me okay, before it`s too late...
(xxxx)

Hey buddy!
Can you send me one more of your free mp3 list? Please,thanks!

Tu es la pour moi.
Je te sens pres de moi.
Notre amitie
m'est precieuse.
Je t'aime beaucoup!
(xxxx)

Ich wunsche dir einen schonen feierabend!
Ich liebe dich!
(xxxx)

Fur dich, weil ich gerade an dich dachte! Kusschen!
(xxxx)

Heb ik je wel eens gezegd dat ik van je hou!
Ik hou zooooo veel van je !!!

A csatolt állomány általában kettős kiterjesztésű, de lehet csak .src ill. .exe kiterjesztése is:

attachment .SCR or .EXE
attachment.doc .SCR or .EXE
attachment.txt .SCR or .EXE
attachment_title .SCR or .EXE
attachment_title.doc .SCR or .EXE
attachment_title.txt .SCR or .EXE
document .SCR or .EXE
document.doc .SCR or .EXE
document.txt .SCR or .EXE
document_title .SCR or .EXE
document_title.doc .SCR or .EXE
document_title.txt .SCR or .EXE
letter .SCR or .EXE
letter.doc .SCR or .EXE
letter.txt .SCR or .EXE
letter_title .SCR or .EXE
letter_title.doc .SCR or .EXE
letter_title.txt .SCR or .EXE
mail .SCR or .EXE
mail.doc .SCR or .EXE
mail.txt .SCR or .EXE
mail_title .SCR or .EXE
mail_title.doc .SCR or .EXE
mail_title.txt .SCR or .EXE
message .SCR or .EXE
message.doc .SCR or .EXE
message.txt .SCR or .EXE
message_title .SCR or .EXE
message_title.doc .SCR or .EXE
message_title.txt .SCR or .EXE
word .SCR or .EXE
word.doc .SCR or .EXE
word.txt .SCR or .EXE
word_title .SCR or .EXE
word_title.txt .SCR or .EXE

A W32/Zafi-C a P2P alkalmazások megosztott mappáiba az alábbi fájlnéven másolja magát: "doom 3 keygen.exe .

A féreg ezen túl több bejegyzést tesz a registry alábbi kulcsához:

HKLM\Software\Microsoft\UpdateZ3\

W32/Zafi-C többek között egy magyar weblap ellen is kezdeményez DDoS (distributed denial of service) támadást:

www.miniszterelnok.hu

de e mellett támadja a

microsoft.com;
google.com oldalakat is.