News
15.06.2004, 13:45 Uhr
W32/Zafi.B
Der Zafi-Wurm verschickt Mails in verschiedenen Sprachen, deaktiviert Virenscanner und führt eine DoS-Attacke auf ungarische Webseiten aus.
Die Mails, mit denen sich der Zafi.B-Wurm verschickt, sind je nach Top-Level-Domain des Empfängers in einer anderen Sprache verfasst. An Adressen mit diesen Endungen verschickt er sich mit einer mehr oder weniger kurzen Botschaft in deren Landesprache:
.at, .cz, .de, .dk, .fi, .fr, .hu, .it, .lt, .mx, .nl, .no, .pl, .pt, .ro, .ru, .se. .sp
Jene mit Adressen, die auf eine andere TLD enden (z.B. .ch, .com und .net) verschickt er sich in Englisch. Hier einige Beispiele, wie Sie diese antreffen könnten:
Die deutschsprachige Fassung:
Absender: Alice
Betreff: eFlashcard fuer Dich!
Name der Beilage: "link.flashcard.de.viewcard34.php.2672aB.pif"
Text: "Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr..."
Die französische Fassung:
Absender: Claudine
Betreff: eE-carte!
Name der Beilage: "link.zdnet.fr.ecarte.index.php34b31.pif"
Text: "vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct..."
Die italienische Fassung:
Absender: Francesca
Betreff: eTi e stata inviata una Cartolina Virtuale!
Name der Beilage: "link.cartoline.it.viewcard.index.4g345a.pif"
Text: "Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente."
Erste englische Fassung:
Absender: Jennifer
Betreff: eYou`ve got 1 VoiceMessage!
Name der Beilage: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Text: "Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R)."
Eine zweite englische Fassung:
Absender: Jennifer
Betreff: eDon`t worry, be happy!
Name der Beilage: "www.ecard.com.funny.picture.index.nude.php356.pif"
Text: "Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:"
Eine dritte englische Fassung:
Absender: David
Betreff: eCheck this out kid!!!
Name der Beilage: "jennifer the wild girl xxx07.jpg.pif"
Text: "Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,"
Manche dieser Mails bringen ausser der in den Beispielen erwähnten Beilagen zudem noch eine weitere Datei namens "Surprise" mit einer Endung .com, .exe oder .pif mit.
Wenn der Empfänger die Beilage öffnet, erstellt der Wurm im Windows-Systemordner eine Datei mit zufällig gewählten Namen und der Endung EXE, sowie eine bis mehrere DLL-Dateien. Die EXE-Datei trägt er wie folgt in der Windows Registry ein, damit der Wurm bei jedem PC-Start geladen wird:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Der Eintrag lautet: "_Hazafibb" = "%SysDir%\zufallsnamen.exe"
Zafi durchsucht alle Ordner im System und legt in jene, welche im Ordnernamen die Zeichenfolge "share" oder "upload" haben, eine Datei ab, die entweder "winamp 7.0 full_install.exe" oder "Total Commander 7.0 full_install.exe" heisst.
Die Adressen für den Versand seiner Mails sucht der Wurm in Dateien mit diesen Endungen, die er auf dem infizierten PC findet:
.adb, .asp, .dbx, .eml, .htm, .mbx, .php, .pmr, .sht, .tbb, .txt, und .wab
Schäden:
Der Zafi.B-Wurm beendet auf dem infizierten PC sämtliche Programme, in deren Name die Worte "firewall" oder "virus" vorkommen. Er überschreibt jene Dateien mit seinem eigenen Programmcode, um sie unbrauchbar zu machen. Zudem blockiert er auch Programme, die dem Benutzer helfen könnten, ihn aufzuspüren, allen voran der Taskmanager und der Registry-Editor. Der Wurm stammt vermutlich aus Ungarn, denn erstens scheint der Wurm in den ungarischen Versionen der Mails gegen die ungarische Regierung zu wettern und zweitens versucht er auch eine Denial-of-Service-Attacke gegen ungarische Websites, wie www.2f.hu, www.parlament.hu, www.virusbuster.hu und www.virushirado.hu.
Weitere Informationen:
Kommentare
Es sind keine Kommentare vorhanden.