Zafi-C: Google, Microsoft, Gyurcsány
Geza Papp, 2004. október 28. 22:04
2004. október 27-én, tegnap 19 óra körül észlelte és identifikálta szinte elsőként a Sophos Plc. a Zafi-C vírust. Ez a "kis jószág", mely W32/Zafi.C@mm, I-Worm.Zafi.c "nevekre is hallgat", 15993 byt hosszú, a magyar Zafi "mass mailing worm" féregcsalád tagja. Levelek tömegét küldi el a fertőzött gépekről, különböző nyelveken - közöttük magyarul is. Analizálása során megállapították, hogy "szolgáltatástagadás" DDoS támadást készít elő részben a microsoft.com, a google.com és Gyurcsány Ferenc, a magyar miniszterelnök lapja, a www.miniszterelnok.hu ellen.
W32/Zafi-C, hálózati féreg, mely e-maileken terjed, mely fertőzés a Windows operációs rendszereket érinti.
A fertőzés hatásai - röviden:
A Sophos antivírus védelme elérhető 2004. október 27. 19:51:19 - óta (GMT)
W32/Zafi-C egy mass mailing (tömeges levélküldő; spammer) e-mail féreg.
Amikor először fut, a W32/Zafi-C bemásolja magát az Windows system folderbe a svchost.com. fájlnéven. Azzal a céllal, hogy a rendszer elindulásával azonos időben a féreg is működjön, az alábbi registry bejegyzést alkotja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
_svchost.con = \svchost.com
A W32/Zafi-C a címeket a merevlemezek alábbi kiterjesztésű állományaiból gyűjti össze:
ADB, ASP, DBX, EML, HTM, MBX, PHP, PMR, SHT, TBB, TXT, WAB
A féreg nem küld levelet olyan címekre, melyek az alábbi karaktersorokat tartalmazzák:
A W32/Zafi-C által küldött levelekre az alábbiak lehetnek a jellemzőek:
Tárgy sor:
Network monitoring!
Please, send forward this letter!
Re: Please, send forward this letter!
Re: full time job for you!
Re: job details!
free mp3 list!
Re: very sick little girl!
Re: Your lover!
Re: CNM, Technology Company!
waiting for you!
Re: Expectant CoWorker!
Re: Can you!
Re: Hey buddy!
Re: offer!
send forward!
Re: call us back!
I`m off!
Thank you!
Re: please read!
Re: David Morgen, Office Manager!
Please,thanks!!
Re: give a little hope!
Megjegyzés: A levél tárgyai lehetnek esetleg részletek a levél szövegéből is.
A levelek szövege lehet:
A csatolt állomány általában kettős kiterjesztésű, de lehet csak .src ill. .exe kiterjesztése is:
attachment .SCR or .EXE
attachment.doc .SCR or .EXE
attachment.txt .SCR or .EXE
attachment_title .SCR or .EXE
attachment_title.doc .SCR or .EXE
attachment_title.txt .SCR or .EXE
document .SCR or .EXE
document.doc .SCR or .EXE
document.txt .SCR or .EXE
document_title .SCR or .EXE
document_title.doc .SCR or .EXE
document_title.txt .SCR or .EXE
letter .SCR or .EXE
letter.doc .SCR or .EXE
letter.txt .SCR or .EXE
letter_title .SCR or .EXE
letter_title.doc .SCR or .EXE
letter_title.txt .SCR or .EXE
mail .SCR or .EXE
mail.doc .SCR or .EXE
mail.txt .SCR or .EXE
mail_title .SCR or .EXE
mail_title.doc .SCR or .EXE
mail_title.txt .SCR or .EXE
message .SCR or .EXE
message.doc .SCR or .EXE
message.txt .SCR or .EXE
message_title .SCR or .EXE
message_title.doc .SCR or .EXE
message_title.txt .SCR or .EXE
word .SCR or .EXE
word.doc .SCR or .EXE
word.txt .SCR or .EXE
word_title .SCR or .EXE
word_title.txt .SCR or .EXE
A W32/Zafi-C a P2P alkalmazások megosztott mappáiba az alábbi fájlnéven másolja magát: "doom 3 keygen.exe .
A féreg ezen túl több bejegyzést tesz a registry alábbi kulcsához:
HKLM\Software\Microsoft\UpdateZ3\
W32/Zafi-C többek között egy magyar weblap ellen is kezdeményez DDoS (distributed denial of service) támadást:
www.miniszterelnok.hu
de e mellett támadja a
microsoft.com;
google.com oldalakat is.
A fertőzés hatásai - röviden:
- kikapcsolja az antivírus-alkalmazásokat
- azokra a címekre küldi másolatait, amiket a fertőzött gépeken talál különböző állományokban
- saját SMTP motort használ
- installálja magát a Registrybe
A Sophos antivírus védelme elérhető 2004. október 27. 19:51:19 - óta (GMT)
W32/Zafi-C egy mass mailing (tömeges levélküldő; spammer) e-mail féreg.
Amikor először fut, a W32/Zafi-C bemásolja magát az Windows system folderbe a svchost.com. fájlnéven. Azzal a céllal, hogy a rendszer elindulásával azonos időben a féreg is működjön, az alábbi registry bejegyzést alkotja:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
_svchost.con = \svchost.com
A W32/Zafi-C a címeket a merevlemezek alábbi kiterjesztésű állományaiból gyűjti össze:
ADB, ASP, DBX, EML, HTM, MBX, PHP, PMR, SHT, TBB, TXT, WAB
A féreg nem küld levelet olyan címekre, melyek az alábbi karaktersorokat tartalmazzák:
aol
cafee
help
hoo.com
hotmail.co
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
vir
webm
A W32/Zafi-C által küldött levelekre az alábbiak lehetnek a jellemzőek:
Tárgy sor:
Network monitoring!
Please, send forward this letter!
Re: Please, send forward this letter!
Re: full time job for you!
Re: job details!
free mp3 list!
Re: very sick little girl!
Re: Your lover!
Re: CNM, Technology Company!
waiting for you!
Re: Expectant CoWorker!
Re: Can you!
Re: Hey buddy!
Re: offer!
send forward!
Re: call us back!
I`m off!
Thank you!
Re: please read!
Re: David Morgen, Office Manager!
Please,thanks!!
Re: give a little hope!
Megjegyzés: A levél tárgyai lehetnek esetleg részletek a levél szövegéből is.
A levelek szövege lehet:
Dear Expectant CoWorker!
We are offering a full time job for you.
Our company (CNM, Technology Company, 2004)
is the third fastest growing technology company in 2004.
Job Type: System and Network monitoring.
Requirements: Windows XP, 2000, 98 minimal expertise,
and networking skills.
If you accept our offer, please read the job details
document for the full description, and call us back.
Thank you,
David Morgen, Office Manager (CNM, Tech. 2004)
Email:
Ich hab dich so lieb!
Tisztelt Leendo Munkatars!
Onnek allast kinal a CNM, Media Services Kft,
informatikai rendszerfigyelo pozicio betoltesere.
Cegunk Magyarorszag egyik jelentos informatikai vallalata,
melyhez informatikaban jartas embereket keresunk.
Alapkovetelmenyek: Windows XP, 2000, valamint 98 halozati
ismeretek, valamint alapfoku angol tudas. Amenyiben elfogadja
ajanlatunkat, kerem olvassa el a reszleteket es jelezzen
vissza a mielobbi egyuttmukodes celjaert.
Tisztelettel: Takacs Laszlo, irodavezeto.
Email:
Please, send forward this letter, and you can give a little hope
to a very sick little girl, who is dying in the hospital, in 2004.
Please read the full story, and send forward!!
(xxxx)
Your lover is waiting for you tomorrow, so please hurry,hurry because..
(xxxx)
Miss you baby!
Whats you doing tomorrow? I`m off, so... I thought maybe we can...
Call me okay, before it`s too late...
(xxxx)
Hey buddy!
Can you send me one more of your free mp3 list? Please,thanks!
Tu es la pour moi.
Je te sens pres de moi.
Notre amitie
m'est precieuse.
Je t'aime beaucoup!
(xxxx)
Ich wunsche dir einen schonen feierabend!
Ich liebe dich!
(xxxx)
Fur dich, weil ich gerade an dich dachte! Kusschen!
(xxxx)
Heb ik je wel eens gezegd dat ik van je hou!
Ik hou zooooo veel van je !!!
A csatolt állomány általában kettős kiterjesztésű, de lehet csak .src ill. .exe kiterjesztése is:
attachment
attachment.doc
attachment.txt
attachment_title
attachment_title.doc
attachment_title.txt
document
document.doc
document.txt
document_title
document_title.doc
document_title.txt
letter
letter.doc
letter.txt
letter_title
letter_title.doc
letter_title.txt
mail.doc
mail.txt
mail_title
mail_title.doc
mail_title.txt
message
message.doc
message.txt
message_title
message_title.doc
message_title.txt
word
word.doc
word.txt
word_title
word_title.txt
A W32/Zafi-C a P2P alkalmazások megosztott mappáiba az alábbi fájlnéven másolja magát: "doom 3 keygen.exe .
A féreg ezen túl több bejegyzést tesz a registry alábbi kulcsához:
HKLM\Software\Microsoft\UpdateZ3\
W32/Zafi-C többek között egy magyar weblap ellen is kezdeményez DDoS (distributed denial of service) támadást:
www.miniszterelnok.hu
de e mellett támadja a
microsoft.com;
google.com oldalakat is.
Kapcsolódó cikkek
- Az AIDS veszélyeire hívja fel a figyelmet egy új vírus
- Vírust terjeszt a hamis Adobe letöltőoldal
- Az adathalászat növekedést, a botok előfordulása csökkenést mutat
- Totális háború: egymillió vírus készenlétben
- Májusi kémprogram toplista
- Terjed a YouTube-os vírus
- 10 antivírus-szoftver megbukott a júniusi VB 100 teszten
- E-petíció dönthetne a társadalmat érintő kérdésekről
- Piacvezető itthon a NOD32
- "Virus Bulletin 100%" díjat kapott a VirusBuster Professional