Win32/Zafi.D
Erstellt am: 2006-07-06,
20:58:30
Modifiziert am: 2010-11-26,
09:32:15
Komprimierung:
FSG
Gefährdete Betriebssystem(e):
Windows 95, Windows 98, Windows Me, Windows NT, Windows 2000
alle...
, Windows Server 2003
, Windows XP
zurück...
Ungefährdete Betriebssystem(e):
Windows 3.xx, DOS, Linux, Unix, Solaris
alle...
, MacOS
, Mac OS X
, OS2
zurück...
Bezeichnungen
Die Bezeichnungen des Schadprogramms Win32/Zafi.D Wurm
heissen laut einzelner Virenschutzprogramme:
Avast
|
Win32:Zafi-J
|
AVG
|
I-Worm/Zafi.D
|
BitDefender
|
Win32.Zafi.D@mm
|
e-Trust
|
Win32/Zafi.D
|
F-PROT
|
W32/EmailWorm.OQI
|
F-Secure
|
Email-Worm.Win32.Zafi.d
|
Ikarus
|
Email-Worm.Win32.Zafi.D
|
Kaspersky
|
Email-Worm.Win32.Zafi.d
|
McAfee
|
W32/Zafi.d@MM(Virus)
|
Microsoft
|
Win32/Zafi.D@mm
|
NOD32 (ESET)
|
Win32/Zafi.D
|
Norton Antivirus
|
W32.Erkez.D@mm
|
Panda
|
W32/Zafi.D.worm
|
Rising Antivirus
|
Worm.Zafi.d
|
Sophos
|
W32/Zafi-D
|
Trend Micro
|
WORM_ZAFI.AC
|
VirusBuster
|
I-Worm.Zafi.D
|
Installieren
Der Schädling Wurm
gibt beim Installieren des eigenen Codes folgendes Fenster auf dem Bildschirm aus:
Der Schädling Wurm
erzeugt folgende Dateien:
Im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32):
Norton Update.exe
Im Verzeichnis vom Windows System32 (laut Grundbedeutung: C:\Windows\System32) unter zufällig generiertem Namen, deren Erweiterung lautet
.dll.
Im Hauptverzeichnis auf der (den) Festplatte(n) :
s.cm
In den gemeinsam genutzten Verzeichnissen:
- winamp 5.7 new!.exe
- ICQ 2005a new!.exe
- winamp 5.7 new!.exe
- ICQ 2005a new!.exe
Der Schädling Win32/Zafi.D Wurm
erstellt, bzw. ändert (falls bereits vorhanden) folgende Einträge in der systembeschreibenden Datenbasis:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wxp4"="C:\WINDOWS\System32\Norton Update.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4] "t3"="C:\WINDOWS\System32\Norton Update.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wxp4"="C:\WINDOWS\System32\Norton Update.exe"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4] "t3"="C:\WINDOWS\System32\Norton Update.exe"
In der Registrierung wird ein Eintrag mit zufälligem Inhalt an der Stelle:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4]
eingeführt.
Der Schädling Win32/Zafi.D Wurm
erstellt einen Mutex unter dem Namen:
Wxp4
.
Der Schädling Win32/Zafi.D Wurm
stoppt die Prozesse, in deren Namen folgende Wortsplitter vorkommen:
- firewall
- virus
- reged
- msconfig
- task
- firewall
- virus
- reged
- msconfig
- task
E-Mail Nachrichten
Der Schädling Win32/Zafi.D Wurm
generiert zur eigenen Verbreitung E-Mail Nachrichten in folgendem Format: ANSI und schickt seinen eigenen Code darin weiter.
Der Schädling Win32/Zafi.D Wurm
durchsucht die Dateien mit folgender Erweiterung nach E-Mail Adressen:
- htm
- wab
- txt
- dbx
- tbb
- asp
- php
- sht
- adb
- mbx
- eml
- pmr
- fpt
- inb
-
zurück...
Der Schädling Win32/Zafi.D Wurm
erzeugt E-Mails von verschiedenem Charakter. Das machen die Viren, bzw. die Würmer generell deshalb, um an die verschiedenen Domaine Texte in entsprechender Sprachform abschicken zu können.
Der Aufbau der zusammengestellten E-Mail Nachrichten sieht wie folgt aus:
Bei Domain(en):
.hu
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
boldog karacsony...
|
Das Feld Anlage |
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Kellemes Ünnepeket!
|
Bei Domain(en):
.nl
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Prettige Kerstdagen!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.KERSTDAGEN.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Prettige Kerstdagen!
|
Bei Domain(en):
.cz
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas pohlednice
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.POHLEDNICE.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Veselé Vánoce!
|
Bei Domain(en):
.fr
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Joyeux Noel!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.ECARTE.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Joyeux Noel!
|
Bei Domain(en):
.it
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Buon Natale!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.CARTOLINE.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Buon Natale!
|
Bei Domain(en):
.ru
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
ecard.ru
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.CARD.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Bei Domain(en):
.es, .mx
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Feliz Navidad!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.NAVIDAD.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Feliz Navidad!
|
Bei Domain(en):
.dk
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas Kort!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.EKORT.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Glaedelig Jul!
|
Bei Domain(en):
.se
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas Vykort!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.VYKORT.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
God Jul!
|
Bei Domain(en):
.no
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas Postkort!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.POSTKORT.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
God Jul!
|
Bei Domain(en):
.fi
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas postikorti!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.POSTIKORTI.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Iloista Joulua!
|
Bei Domain(en):
.lt
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas Atviruka!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.ATVIRUKA.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Naujieji Metai!
|
Bei Domain(en):
.pl
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Christmas - Kartki!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.KARTKI.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Wesolych Swiat!
|
Bei Domain(en):
.de, .at
(Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Weihnachten card.
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.WEIHNACHTEN.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Fröhliche Weihnachten!
|
Bei allen anderen Domainen (Details...)
Das Feld Absender |
Der Absender der E-Mail ist die E-Mail Adresse eines Klienten des infizierten Rechners.
|
Das Feld Adressat |
Von Wurm
werden die E-Mail Nachrichten an die gesammelten Adressen geschickt.
An die Adressen mit folgenden Wörtern wird jedoch keine E-Mail geschickt:
- yaho
- google
- win
- use
- info
- help
- admi
- ebm
- micro
- msn
- hotm
- suppor
- syman
- viru
- trend
- secur
- panda
- cafee
- sopho
- kasper
-
zurück...
|
Das Feld Subject |
Mögliches Subject im Brief ist:
Merry Christmas!
|
Das Feld Anlage |
Die mögliche Anlage der von Wurm
geschickten E-Mail Nachricht ist:
#####.POSTCARD.#####
.
Die Anlage der von Wurm
geschickten E-Mail kann folgende Erweiterung haben:
|
Das Text-Feld |
Der E-Mail Text lautet:
Happy Hollydays!
|
Das Symbol der infizierten Anlagen ist (Vorsicht: es gibt E-Mail Klienten, die das Symbol der Anlage NICHT zeigen):
Hintertür
Der Schädling Win32/Zafi.D Wurm
öffnet eine Hintertür an der TCP-Schnittstelle (Port):
8181
.