W32/Zafi.D (alias W32.Erkez.D@mm)

Im Sommer 2004 hat sich Zafi.B [1] als elektronische Postkarte ausgegeben und auf Benutzer gehofft, die auf die Masche hereinfallen. Ganz saisongerecht tarnt sich jetzt sein Nachfolger, die Variante Zafi.D, als elektronische Weihnachtskarte.

Die Mails, die Zafi.D verschickt, sind auf verschiedene Sprachen getrimmt, je nach E-Mail-Adresse des Empfängers. Standardmässig verschickt er sich in Englisch, zum Beispiel mit diesem Text:

Absender: Pamela M.

Betreff: Merry Christmas!

Happy HollyDays!

In der als HTML formatierten Mail ist ein animiertes GIF-Bild zu sehen und ein Smilie.

Wenn sich Zafi.D an spanische Adressen (Domain .es) verbreitet, verwendet er den Betreff "Feliz Navidad!", bei deutschen und österreichischen Adressen (Domains .de und .at) verwendet er den Betreff "Weihnachten card" und den Text "Fröhliche Weihnachten!".

Die Wurm-Beilage enthält im Dateinamen ein Wort wie "postcard", manchmal auch "christmas", "index" oder "link". Sie trägt die Endung .bat, .cmd, .com, .pif oder .zip.

Wird die infizierte Beilage ausgeführt, legt der Wurm Kopien von sich im Windows-Systemordner ab: Eine Datei mit zufällig gewähltem Namen und der Endung .DLL und eine zweite Datei namens "Norton Update.exe". Diese Datei trägt er in der Registry ein, sodass der Wurm bei jedem Systemstart mitgeladen wird.

Der Eintrag ist in diesem Registry-Zweig:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Er heisst "Wxp4" und trägt den Wert "%System%\Norton Update.exe"

"%System%" ist eine Systemvariable, die normalerweise auf den Ordner C:\Windows\System32 oder C:\Winnt\System32 zeigt.

Im selben Ordner erstellt der Wurm weitere DLL-Dateien, in welchen er Daten ablegt, die er für sein Tun benötigt.

Nun durchsucht der Wurm das System nach Ordnern, die im Namen die Zeichenfolgen "share", "upload", oder "music" tragen. Wird er fündig, verteilt er dort hinein Kopien von sich. Die so abgelegten Wurmkopien heissen "winamp 5.7 new!.exe" oder "ICQ 2005a new!.exe".

Der Wurm verbreitet sich automatisch an E-Mail-Adressen weiter, die er auf dem infizierten PC in verschiedensten Adressbuch- und sonstigen Dateiformaten sucht - und natürlich auch findet.

W32/Zafi.D richtet folgende Schäden an:

Er beendet auf dem infizierten System jene Anwendungen, die das Wort "firewall" oder "virus" im Namen tragen (meist Virenscanner oder Firewall-Software). Die zugehörigen Programmdateien werden mit einer Kopie des Wurms überschrieben. Ausserdem blockiert der Wurm wichtige Windows-Programme, die oft zur Beseitigung solcher Schädlinge beizogen werden, zum Beispiel den Task-Manager und den Registry-Editor. Dies erreicht er, indem er die Programme mit Exklusiv-Rechten ausführt und so für den Benutzer sperrt.

Wie andere Schädlinge zuvor öffnet Zafi.D in der Netzwerk- bzw. Internetverbindung eine Hintertüre, diesmal auf Port Nummer 8181. Dies macht den infizierten PC für Angriffe von aussen verwundbar.

Weitere Informationen und Screenshots zu Zafi.D finden Sie beispielsweise bei F-Secure [2], McAfee [3] und Sophos [4]. Bei Symantec ist der Wurm unter dem Namen W32.Erkez.D@mm bekannt. Auf deren Beschreibungsseite zum Wurm [5] steht ein kostenloses Removal-Tool zur Verfügung.