SG.hu

Ismét magyar eredetű vírus terjed a hálón: Zafi.b

A Network Associates vírusszakértői csoportja magasabb veszélyességi kategóriába sorolta át a Zafi.b féregvírust, mert előfordulási gyakorisága megnőtt.

A közlemény szerint az új variáns az otthoni és a vállalati felhasználók számára egyaránt "közepesen veszélyes". A nemrégiben kitört politikai üzenetű Zafi féreg b változata szintén erős social engineering (félrevezető üzenet) segítségével próbálja megtéveszteni a gyanútlan felhasználókat. A vírus jelenlegi változatának szintén van számos magyar nyelvű üzenetet tartalmazó verziója, ezek közül az alábbiak fordulnak elő a leggyakrabban:

Feladó: Anita
Tárgy: Anita
Szöveg:
Szia!

Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók: Anita


Csatolt állomány: anita.image043.jpg.pif

Feladó: Anita
Tárgy: Ingyen SMS!
Szöveg:

------------------------ hirdetés -----------------------------

A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küldő szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
lap kitöltése után azonnal igénybevehető! Bővebb információt
a www.777sms.hu oldalon találsz, de siess, mert az első ezer
felhasználó között értékes nyereményeket sorsolunk ki!

------------------------ axelero.hu ---------------------------

Feladó: Anita
Tárgy: Tessék mosolyogni!!!
Szöveg:
Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:

Csatolt állomány: meztelen csajok fociznak.flash.jpg.pif

A W32/Zafi.b@MM verzió tartalmaz saját SMTP levelező motort, amellyel - hamis feladót feltüntetve - továbbküldi magát a .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml, .pmr fájlokból összegyűjtött címekre. A vírus nem küldi tovább magát, ha a címben a következő szavak vannak: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win, yaho. A megszerzett címeket a Zafi.B öt, véletlenszerű nevű dll fájlban tárolja a system32 könyvtárban. Például:
  • C:\WINNT\system32\kenbdplk.dll
  • C:\WINNT\system32\zibscdes.dll
  • C:\WINNT\system32\qfafsxoz.dll
  • C:\WINNT\system32\zhzukrhp.dll
  • C:\WINNT\system32\sdxsuwxt.dll

    A Zafi.b fájlcserélő programok segítségével is terjed: a fertőzött gépen bemásolja magát a share vagy upload kifejezéseket tartalmazó könyvtárakba a C meghajtón, alábbi fájlneveket használva:
  • Total Commander 7.0 full_install.exe
  • winamp 7.0 full_install.exe

    Ha a csatolt fájlt megnyitják, a féreg kétszer is bemásolja magát a %windir%\system32 könyvtárba, random nevet, .EXE vagy .DLL kiterjesztést használva. Például:
  • C:\WINNT\system32\jrbtgmqi.exe
  • C:\WINNT\system32\enfrbatm.dll

    Az indításkor az alábbi kulcs segítségével tölti be magát:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\ Run "_Hazafibb" = %windir%\System32\jrbtgmqi.exe

    A vírus megkeresi a vírusirtók és tűzfalprogramok könyvtárát, és a benne lévő programfájlokat lecseréli saját magára. További tünetek:
  • Biztonsági szoftverek működésének megakadályozása
  • Hálózati és rendszerforgalom lelassítása
  • Hozzászólások

    A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!
    Bejelentkezéshez klikk ide
    (Regisztráció a fórum nyitóoldalán)
    • mrzool #8
      Nem kell ehhez semmi kötődés, egyszerűbb a VH-t ajánlani, mint minden egyes vírusos kérdéskor leírni, hogy mit kell tenni a megelőzés / eltávolítás érdekében... Ez az egyetlen magyar lap, amiről tudok, hogy felvállalták az ügyet, és foglalkoznak vele - mellesleg az anyagaik és írásaik alapján úgy vélem, hogy megbízhatóak, és nyugodtan merem ajánlani bárkinek. Ha mondasz egy másikat, szívesen linkelem azt is.
    • Cat #7
      te ott dolgozol, vagy mit reklámozod minden alkalommal ?
    • mrzool #6
      "Esküszöm kéne csinálni valami oktató oldalt a sok féleszűnek"

      Nos van ilyen 'oktató'-oldal, pl. a virushirado.hu. Elég jelentős szerepet vállaltak a Zafi.A idején, gyorsan riadóztattak, figyelmeztettek a veszélyre, etc... Ezt most megbosszulta a vírusíró, ugyanis a B verzió szép kis DDoS-t intéz a virushirado.hu ellen...
    • radical@work #5
      Szerintem az a sok szerencsétlen hülye a szánalmas, aki minden ismeretlen helyről érkező mellékletet gondolkodás nélkül megnyit, és nincs antivírus progija vagy nem frissíti rendszeresen.