A Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a Zafi.b féregvírust, mert előfordulási gyakorisága megnőtt.

Hirdetés

A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt "közepesen veszélyes". A nemrégiben kitört politikai üzenetű Zafi féreg b változata szintén erős social engineering (félrevezető üzenet) segítségével próbálja megtéveszteni a gyanútlan felhasználókat. A vírus jelenlegi változatának szintén van számos magyar nyelvű üzenetet tartalmazó verziója, ezek közül az alábbiak fordulnak elő a leggyakrabban:

Feladó: Anita
Tárgy: Anita
Szöveg:
Szia!

Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók: Anita

Csatolt állomány: anita.image043.jpg.pif

Feladó: Anita
Tárgy: Ingyen SMS!
Szöveg:

------------------------ hirdetés -----------------------------

A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küldő szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
lap kitöltése után azonnal igénybevehető! Bővebb információt
a www.777sms.hu oldalon találsz, de siess, mert az első ezer
felhasználó között értékes nyereményeket sorsolunk ki!

------------------------ axelero.hu ---------------------------

Feladó: Anita
Tárgy: Tessék mosolyogni!!!
Szöveg:
Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:

Csatolt állomány: meztelen csajok fociznak.flash.jpg.pif

A W32/Zafi.b@MM verzió tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml, .pmr fájlokból összegyűjtött címekre. A vírus nem küldi tovább magát, ha a címben a következő szavak vannak: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win, yaho. A megszerzett címeket a Zafi.B öt, véletlenszerű nevű dll fájlban tárolja a system32 könyvtárban. Például:

C:\WINNT\system32\kenbdplk.dll

C:\WINNT\system32\zibscdes.dll

C:\WINNT\system32\qfafsxoz.dll

C:\WINNT\system32\zhzukrhp.dll

C:\WINNT\system32\sdxsuwxt.dll

A Zafi.b fájlcserélő programok segítségével is terjed: a fertőzött gépen bemásolja magát a share vagy upload kifejezéseket tartalmazó könyvtárakba a C meghajtón, alábbi fájlneveket használva:

Total Commander 7.0 full_install.exe

winamp 7.0 full_install.exe

Ha a csatolt fájlt megnyitják, a féreg kétszer is bemásolja magát a %windir%\system32 könyvtárba, random nevet, .EXE vagy .DLL kiterjesztést használva. Például:

C:\WINNT\system32\jrbtgmqi.exe

C:\WINNT\system32\enfrbatm.dll

Az indításkor az alábbi kulcs segítségével tölti be magát:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run "_Hazafibb" = %windir%\System32\jrbtgmqi.exe

A vírus megkeresi a vírusirtók és tűzfalprogramok könyvtárát, és a benne lévő programfájlokat lecseréli saját magára. További tünetek:

Biztonsági szoftverek működésének megakadályozása

Hálózati és rendszerforgalom lelassítása

Kapcsolódó cikkek

• Új, veszélyesnek tűnő trójai terjed (2004. június 7.)
• Közepesen veszélyes a Lovgate.ab féreg (2004. május 19.)
• A Sasser vírus változatainak terjedése; akár egymillió fertőzött gép világszerte (2004. május 5.)
• Közepesen veszélyes a Sasser.d féreg (2004. május 4.)
• Közepesen veszélyes a W32/Netsky.ab@MM (2004. április 30.)

Kapcsolódó linkek

• Network Associates

Laptopok Már 49 900 Ft-tól!	E-book olvasók Már 17 043 Ft-tól!	Tablet PC-k Már 23 140 Ft-tól!	LCD monitorok Már 19 800 Ft-tól!
részletek »	részletek »	részletek »	részletek »

Megosztás

•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•  
•