W32/Zafi.B

Die Mails, mit denen sich der Zafi.B-Wurm verschickt, sind je nach Top-Level-Domain des Empfängers in einer anderen Sprache verfasst. An Adressen mit diesen Endungen verschickt er sich mit einer mehr oder weniger kurzen Botschaft in deren Landesprache:

.at, .cz, .de, .dk, .fi, .fr, .hu, .it, .lt, .mx, .nl, .no, .pl, .pt, .ro, .ru, .se. .sp

Jene mit Adressen, die auf eine andere TLD enden (z.B. .ch, .com und .net) verschickt er sich in Englisch. Hier einige Beispiele, wie Sie diese antreffen könnten:

Die deutschsprachige Fassung:

Absender: Alice

Betreff: eFlashcard fuer Dich!

Name der Beilage: "link.flashcard.de.viewcard34.php.2672aB.pif"

Text: "Hallo!

hat dir eine elektronische Flashcard geschickt.

Um die Flashcard ansehen zu koennen, benutze in deinem Browser

einfach den nun folgenden link:

http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34

Viel Spass beim Lesen wuenscht Ihnen ihr..."

Die französische Fassung:

Absender: Claudine

Betreff: eE-carte!

Name der Beilage: "link.zdnet.fr.ecarte.index.php34b31.pif"

Text: "vous a envoye une E-carte partir du site zdnet.fr

Vous la trouverez, l'adresse suivante link:

http://zdnet.fr/showcard.index.php34bs42

www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web

en 5 minutes, du dialogue en direct..."

Die italienische Fassung:

Absender: Francesca

Betreff: eTi e stata inviata una Cartolina Virtuale!

Name der Beilage: "link.cartoline.it.viewcard.index.4g345a.pif"

Text: "Ciao!

ha visitato il nostro sito, cartolina.it e ha creato una

cartolina virtuale per te! Per vederla devi fare click

sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a

Attenzione, la cartolina sara visibile sui nostri server per

2 giorni e poi verra rimossa automaticamente."

Erste englische Fassung:

Absender: Jennifer

Betreff: eYou`ve got 1 VoiceMessage!

Name der Beilage: "link.voicemessage.com.listen.index.php1Ab2c.pif"

Text: "Dear Customer!

You`ve got 1 VoiceMessage from voicemessage.com website!

You can listen your Virtual VoiceMessage at the following link:

http://virt.voicemessage.com/index.listen.php2=35affv

or by clicking the attached link.

Send VoiceMessage! Try our new virtual VoiceMessage Empire!

Best regards: SNAF.Team (R)."

Eine zweite englische Fassung:

Absender: Jennifer

Betreff: eDon`t worry, be happy!

Name der Beilage: "www.ecard.com.funny.picture.index.nude.php356.pif"

Text: "Hi Honey!

I`m in hurry, but i still love ya...

(as you can see on the picture)

Bye - Bye:"

Eine dritte englische Fassung:

Absender: David

Betreff: eCheck this out kid!!!

Name der Beilage: "jennifer the wild girl xxx07.jpg.pif"

Text: "Send me back bro, when you`ll be done...(if you know what i mean...)

See ya,"

Manche dieser Mails bringen ausser der in den Beispielen erwähnten Beilagen zudem noch eine weitere Datei namens "Surprise" mit einer Endung .com, .exe oder .pif mit.

Wenn der Empfänger die Beilage öffnet, erstellt der Wurm im Windows-Systemordner eine Datei mit zufällig gewählten Namen und der Endung EXE, sowie eine bis mehrere DLL-Dateien. Die EXE-Datei trägt er wie folgt in der Windows Registry ein, damit der Wurm bei jedem PC-Start geladen wird:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Der Eintrag lautet: "_Hazafibb" = "%SysDir%\zufallsnamen.exe"

Zafi durchsucht alle Ordner im System und legt in jene, welche im Ordnernamen die Zeichenfolge "share" oder "upload" haben, eine Datei ab, die entweder "winamp 7.0 full_install.exe" oder "Total Commander 7.0 full_install.exe" heisst.

Die Adressen für den Versand seiner Mails sucht der Wurm in Dateien mit diesen Endungen, die er auf dem infizierten PC findet:

.adb, .asp, .dbx, .eml, .htm, .mbx, .php, .pmr, .sht, .tbb, .txt, und .wab

Schäden:

Der Zafi.B-Wurm beendet auf dem infizierten PC sämtliche Programme, in deren Name die Worte "firewall" oder "virus" vorkommen. Er überschreibt jene Dateien mit seinem eigenen Programmcode, um sie unbrauchbar zu machen. Zudem blockiert er auch Programme, die dem Benutzer helfen könnten, ihn aufzuspüren, allen voran der Taskmanager und der Registry-Editor. Der Wurm stammt vermutlich aus Ungarn, denn erstens scheint der Wurm in den ungarischen Versionen der Mails gegen die ungarische Regierung zu wettern und zweitens versucht er auch eine Denial-of-Service-Attacke gegen ungarische Websites, wie www.2f.hu, www.parlament.hu, www.virusbuster.hu und www.virushirado.hu.

Weitere Informationen:

Beschreibungen über den Wurm finden Sie unter anderem bei F-Secure [1] und McAfee [2], beide mit Gratis-Beseitigungstool. Auch Symantec [3] bringt ein Beseitigungstool mit, nennt den Wurm aber nicht Zafi.B, sondern W32.Erkez.B@mm. Bekannt ist der Schädling auch bei Kaspersky [4] und bei Panda [5].