Sicherheitsexperte MessageLabs hat eigenen Angaben zufolge bislang 25.000 Exemplare abgefangen. Das erste bereits am 13. Dezember. Antivirenspezialist Sophos vermutet den Ursprung des Schädlings in Ungarn. Zumindest war die ursprüngliche Version in ungarischer Sprache gehalten. Der Absender der Mails ist gefälscht, das Betreff-Feld lautet auf "Merry Christmas" und ähnliche Grußformeln, darunter auch spanische und französische.
W32/Zafi.D bringt eine eigene SMTP-Engine zum Massenversand mit, kann sich nach Erkenntnissen von MessageLabs aber auch via P2P-Applikationen verbreiten.
Das Attachement tarnt sich nur über den Dateinamen als Weihnachtsgruß (giftcard, wishcard, xmascard etc), die Dateiendungen dagegen - ".cmd", ".bat" und ".com" - sollten den Benutzer stutzig machen.
Obwohl der Empfänger das Attachement manuell starten muss, scheint Zafi im Vorweihnachtstrubel auf viele arglose Benutzer zu treffen. "Gefälschte Weihnachtsgrüße wie dieser tauchen alle Jahre wieder auf", kommentieren Antivirenexperten von F-Secure die Weihnachtsmasche.
Einmal gestartet erscheint laut Sophos zur weiteren Tarnung eine Fehlermeldung ("Error in packed file") unterdessen versucht der Wurm Firewall und Antivirus-Anwendungen auszuschalten. Tools wie der Task-Manager und der Registry-Editor können ebenfalls in ihrer Funktion gestört sein, berichtet MessageLabs .
Zafi.D verfügt über eine Remote-Access-Komponente, die auf Verbindungen über TCP Port 8181 wartet. Remote-Angreifer können über diese Hintertür Dateien laden und ausführen. Die Antivirenhersteller haben ihre Signaturen überwiegend bereits auf den neuesten Stand gebracht.
Quelle: www.pcwelt.de
Zuletzt bearbeitet von (Giuliano) am 06.01.2005 17:56
cU L8tEr aLiGaToR
mFg, Giuliano.
mFg, Giuliano.
06.01.2005 03:38