SG.hu
Új, politikai tárgyú magyar féreg terjed az interneten
[Virushiradó] 2004. április 19-én, hétfőn gyors ütemben kezdett terjedni hazánkban a Zafi, más néven Kapes féreg. A levél hamisított feladóval érkezik és az alábbi magyar nyelvű szöveget tartalmazza:
Tisztelt felhasználó!
Önnek képeslapja érkezett!
A képeslap feladója: [lánynév, változó cégnév, stb. állhat itt]
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2 vagy a mellékelt internetlink kattintásával.
Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/
A webhivatkozás a levélben valójában hibás, a http tag után nincs kettőspont, ez feltehetően szándékos, hogy a csatolt mellékletet lefuttassa a felhasználó. A melléklet neve: link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com ami egy futtatható állományt takar. A féreg indítása után véletlenszerű névvel bemásolja magát a windows\system32 mappába, illetve gondoskodik a fájl automatikus indításáról egy registry bejegyzés segítségével. A kulcs neve véletlenszerűen választott: HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
A féreg végigkutatja a merevlemezeken található bizonyos típusú fájlokat a továbbterjedéshez felhasználható, a magyar cc:TLD-ben található (azaz .hu végződésű) e-mail címek után kutatva: adb, asp, dbx, eml, htm, mbx, php, pmr, sht, tbb, txt, wab
A Zafi féreg megkísérli leállítani egyes biztonsági szoftverek memóriában futó folyamatait: dfw.exe, fsav32.exe, fsbwsys.exe, fsgk32.exe, fsm32.exe, fssm32.exe, fvprotect.exe, mcagent.exe, navapw32.exe, navdx.exe, navstub.exe, navw32.exe, nc2000.exe, ndd32.exe, netarmor.exe, netinfo.exe, netmon.exe, nmain.exe, nprotect.exe, ntvdm.exe, ostronet.exe, outpost.exe, pccguide.exe, pcciomon.exe, regedit.exe, regedit32.exe, taskmgr.exe, tnbutil.exe, vbcons.exe, vbsntw.exe, vbust.exe, vsmain.exe, vsmon.exe, vsstat.exe, winlogon.exe, zonalarm.exe
A féreg leállítja a Feladatkezelő és a Registry editor alkalmazásokat, átnevezve azonban ezek az eszközök ismét futtathatóak lesznek. A Zafi.A féreg csak április hónapban működőképes, május elsején a "Hazafi" álnevű vírusíró műve egy erősen politikai jellegű üzenet megjelenítése után befejezi ténykedését:
"Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan, s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember millios vagyonokra tesz szert, mitsem torodve velunk. Latszat emberek iranyitanak, kik emelik fizetesunk, s ketszer annyi adot vonnak le, kik igazsagszolgaltatasrol regelnek, mikor a bunozoket es a novekvo agressziot vedik torvenyeikkel, kik inkabb Forma1-re pocsekoljak a penzt, mialatt hajlektalanok halnak meg naponta utcainkon, s korhazi betegek szenvednek szukseges muszerek nelkul. Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!! Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot, tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!" - irja a Vírushiradó.
Tisztelt felhasználó!
Önnek képeslapja érkezett!
A képeslap feladója: [lánynév, változó cégnév, stb. állhat itt]
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2 vagy a mellékelt internetlink kattintásával.
Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/
A webhivatkozás a levélben valójában hibás, a http tag után nincs kettőspont, ez feltehetően szándékos, hogy a csatolt mellékletet lefuttassa a felhasználó. A melléklet neve: link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com ami egy futtatható állományt takar. A féreg indítása után véletlenszerű névvel bemásolja magát a windows\system32 mappába, illetve gondoskodik a fájl automatikus indításáról egy registry bejegyzés segítségével. A kulcs neve véletlenszerűen választott: HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
A féreg végigkutatja a merevlemezeken található bizonyos típusú fájlokat a továbbterjedéshez felhasználható, a magyar cc:TLD-ben található (azaz .hu végződésű) e-mail címek után kutatva: adb, asp, dbx, eml, htm, mbx, php, pmr, sht, tbb, txt, wab
A Zafi féreg megkísérli leállítani egyes biztonsági szoftverek memóriában futó folyamatait: dfw.exe, fsav32.exe, fsbwsys.exe, fsgk32.exe, fsm32.exe, fssm32.exe, fvprotect.exe, mcagent.exe, navapw32.exe, navdx.exe, navstub.exe, navw32.exe, nc2000.exe, ndd32.exe, netarmor.exe, netinfo.exe, netmon.exe, nmain.exe, nprotect.exe, ntvdm.exe, ostronet.exe, outpost.exe, pccguide.exe, pcciomon.exe, regedit.exe, regedit32.exe, taskmgr.exe, tnbutil.exe, vbcons.exe, vbsntw.exe, vbust.exe, vsmain.exe, vsmon.exe, vsstat.exe, winlogon.exe, zonalarm.exe
A féreg leállítja a Feladatkezelő és a Registry editor alkalmazásokat, átnevezve azonban ezek az eszközök ismét futtathatóak lesznek. A Zafi.A féreg csak április hónapban működőképes, május elsején a "Hazafi" álnevű vírusíró műve egy erősen politikai jellegű üzenet megjelenítése után befejezi ténykedését:
"Emberek! Magyarok szazezrei, millioi elnek naprol - napra, halnak ehen - szomjan, s szegenysegben hazankban! Mikozben jonehany felso parlamenti gazember millios vagyonokra tesz szert, mitsem torodve velunk. Latszat emberek iranyitanak, kik emelik fizetesunk, s ketszer annyi adot vonnak le, kik igazsagszolgaltatasrol regelnek, mikor a bunozoket es a novekvo agressziot vedik torvenyeikkel, kik inkabb Forma1-re pocsekoljak a penzt, mialatt hajlektalanok halnak meg naponta utcainkon, s korhazi betegek szenvednek szukseges muszerek nelkul. Hogy - hogy nem latja ezt senki ???? Miert nincs egy igaz magyar, ki vegre mar nem sajat erdekeit, hanem az orszag sulyos problemait helyezne eloterbe!!! Nem eleg akarni, s beszelni, meg szonoklatni a szepet,s jot, tenni-tenni-tenni kell, egyarant mindenkinek - mindenkiert!" - irja a Vírushiradó.