Zafi.D-mato leviää suomenkielisenä

Zafi.D on sähköpostimato, joka on aloittanut leviämisensä 14.12.2004. Mato leviää pääosin sähköpostin välityksellä, joka sisältää joulutervehdyksen. Osa madon lähettämistä sähköposteista sisältää suomenkielistä tekstiä. Zafi.D leviää myös muille kielillä kirjoitettuna.

Mato leviää sähköpostin liitetiedostona pakattuna .pif, .cmd, .bat, .com tai .zip -formaattiin. Liitetiedoston nimet ja niissä käytettävät sanojen järjestykset vaihtelevat. Sähköpostin liitetiedostoa avattaessa mato saattaa esittää tietojärjestelmän käyttäjälle hämäystarkoituksessa seuraavan virheilmoituksen: "Error in packed file"

Aktivoiduttuaan Zafi.D kopioi itsensä Windows System -hakemistoon mielivaltaisella .DLL -nimellä ja/tai nimellä "Norton Update.exe". Mato lisää kohdejärjestelmän rekisteriasetuksiin käyttämänsä .exe -tiedoston nimen seuraavaan rekisterin kohtaan:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Mato luo Windows System -hakemistoon myös useita muita tiedostoja vaihtelevilla nimillä ja .dll -laajennuksilla. Mato säilyttää omaa ohjelmakoodiaan luomissaan hakemistoissa.

Mato käy läpi kohdejärjestelmän hakemistoja ja kopioi itsensä seuraavilla nimillä niihin hakemistoihin, joiden nimistä löytyvät sanat 'share', upload' tai 'music':

winamp 5.7 new! sekä ICQ 2005a new!.exe

Mato etsii sähköpostiosoitteita Windowsin osoitekirjasta sekä muista tiedostoista. Mato sisältää oman sähköpostin lähetykseen tarkoitetun komponentin (SMTP-engine) sekä se kykenee lähettämään itsensä myös eri avointen sähköpostipalvelinten kautta (SMTP Relay).

Madon sisältämä viesti suomeksi sisältää seuraavat tiedot:

Lähettäjä: M. Virtanen
Subject: Christmas postikorti!
Iloista Joulua!
:)
[vastaanottaja]

Madon sisältämät viestit sisältävät myös pienen .gif -muotoon pakatun kuvatiedoston.

Zafi.D sulkee kohdejärjestelmästä kaikki ne sovellukset, joiden nimet liittyvät palomuuriin tai virustorjuntaan. Tämän jälkeen mato ylikirjoittaa nämä palomuuriin tai virustorjuntaan liittyvien sovelluksien nimet (firewall, virus).

Mato estää useiden Windows-käyttöjärjestelmän ohjelmistojen käytön ollessaan aktiivinen. Tällaisia ohjelmistoja ovat mm. Task Manager (tehtävien hallinta) sekä Registry Editor (rekisterieditori).

Mato sisältää takaporttin, joka kuuntelee saastuneen tietojärjestelmän TCP- porttia 8181. Mato voi ladata tiedostoja ja suorittaa niitä takaportin avulla saastuneessa tietojärjestelmässä.

Varoituksen kohderyhmä

  • Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

Ratkaisu- ja rajoitusmahdollisuudet

  • Käytä ajantasaista virustorjuntaohjelmistoa

  • Älä avaa liitetiedostoja ennen virustarkastusta

  • Tuhoa Zafi.D:n sisältämät sähköpostiviestit välittömästi

Lisätietoa

http://www.europe.f-secure.com/v-descs/zafi_d.shtml

http://www.sophos.com/virusinfo/analyses/w32zafid.html

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=130371

Päivityshistoria

Asiasanat: Tietoturva , Varoitukset

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248