Rubrik: Virenwarnung/Aktuelle Meldungen

MessageLabs: Gefährliche Bescherung: "Zafi.D" kommt mit der Weihnachtspost

Mass-Mailing-Virus nutzt seine eigene SMTP Engine, um sich zu verteilen

(19.12.04) - MessageLabs warnt Computer-Benutzer vor dem Virus "W32/Zafi.D-mm", einer weiteren Variante der Zafi-Virenfamilie. MessageLabs hat bislang 25.000 Exemplare abgefangen. Das Virus wurde erstmals am 13. Dezember 2004 um 20:34 GMT identifiziert.

Allgemeines

W32/Zafi.D-mm ist ein Mass-Mailing-Virus, das seine eigene SMTP Engine nutzt, um sich zu verteilen und E-Mail-Adressen von befallenen Rechnern zu missbrauchen. Das Virus kann sich auch über P2P-Applikationen verbreiten.

Das "Von:"-Feld der E-Mail ist "gespooft", der Text der Zafi.D-E-Mails kann in Englisch oder vielen anderen Sprachen geschrieben sein. Die ursprüngliche Variante Zafi.A "sprach" ausschließlich Ungarisch.

Das Virus ist an Weihnachtsgruß-Mitteilungen angehängt, in Form einer ganzen Palette von verschiedenen Dateinamen und Extensions.

Basierend auf den ersten erfassten Exemplaren wurden bereits folgende Attachments identifiziert:

Anzahl                   Dateiname

247                         card.php3686.cmd

192                         postcard.php5682.cmd

67                           xmascard.php8238.cmd

15                           wishcard.php5147.pif

4                             giftcard.id7165.cmd

4                             xmascard.php4016.com

3                             card.php8077.cmd

2                             giftcard.id6325.com

1                             giftcard.id3435.cmd

1                             giftcard.php1051.com

1                             link.postcard.christmas.index.htm1712.bat

1                             link.postcard.index.htm6006.cmd

1                             postcard.christmas.index.gif0335.cmd

1                             postcard.christmas.index.gif4451.cmd

1                             postcard.gif0715.cmd

1                             postcard.gif2635.bat

1                             postcard.index.gif6540.cmd

1                             postcard.jpg2157.cmd

1                             postcard.php6184.cmd

1                             wishcard.php5662.com

1                             wishcard.php5762.cmd

1                             wishcard.php7500.cmd

1                             xmascard.id2055.cmd

1                             xmascard.php2544.cmd

1                             xmascard.php8505.cmd

Der Empfänger muss das Attachment manuell öffnen, damit es ausgeführt wird. Ist dieser Fall eingetreten, versucht das Virus alle in Betrieb befindlichen Firewalls und Antivirus-Anwendungen auszuschalten. Windows Tools, wie der Task Manager und der Registry Editor, können ebenfalls davon betroffen sein.

Zafi.D verfügt über eine Remote-Access-Komponente, die auf Inbound-Verbindungen auf TCP Port 8181 wartet. Remote-Benutzer können dann über diese Hintertür Dateien laden und ausführen.

Betreffzeilen:

boldog karacsony...

Feliz Navidad!

Fw: boldog karacsony...

Fw: Joyeux Noel!

Fw: Merry Christmas!

Merry Christmas!

Identifizierung (ma)

MessageLabs

Office UK:

Tel. (0044-1452) 627627, Fax (0044-1452) 627628

Sales:

E-Mail: salesquery@messagelabs.com

General:

E-Mail: info@messagelabs.com

Web: www.messagelabs.com

MessageLabs: Deutschland

Kontakt: Henning Ogberg

Tel. (089) 189-43990, Fax (089) 189-4399-9,

E-Mail: hogberg@messagelabs.com

Web: www.messagelabs.com