Merry Christmas! [Worm ZAFI.D]

[cagnaluia]

porcaccia!!!


sono pieno di mail... ogni pochi minuti decine e decine di mail.. intasano la mailbox...




qualcuno ne sa qualcosa?

[cagnaluia]

avast ha trovato questo files.. tra le cartelle di outlook...

oemig55bt.exe

[cagnaluia]

....


qui è un macello.. ho decine di pc virati...

ma è possibile che l'antivirus della trendmicro.. non l'abbia trovato?!!?!??!?!

[cagnaluia]

ecco.. sui processi trovo un norton update che non dovrebbe per nulla esistere.. anche perchè norton non ce lho!!

ora ho installato AVAST.. lo aggiorno.. scansiono e in più ho offiscan di trend micro

[halduemilauno]

Quote:

Originariamente inviato da cagnaluia
ecco.. sui processi trovo un norton update che non dovrebbe per nulla esistere.. anche perchè norton non ce lho!!

ora ho installato AVAST.. lo aggiorno.. scansiono e in più ho offiscan di trend micro

bravo. aggiungi un pò di antispyware, tipo giant, spysweeper, spybot, ad-aware.
li aggirni tutti ad oggi e fai una bella scansione.
ciao.

[cagnaluia]

è un file...

norton update.exe


su system32


che manda mail a mnetta a caso e alla rubrica..


sto cancellando a mano

[eraser]

Merry Christmas?

Zafi.D

Cancellate

[eraser]

Quote:

Si tratta di un worm che si diffonde attraverso la posta elettronica. Si copia all’interno delle cartelle condivise. Tenta di sovrascrivere i file con estensione EXE. Usa un proprio motore SMTP (Simple Mail Transfer Protocol) per inviare i messaggi in diverse lingue e con gli auguri natalizi (Buon Natale, Merry Christmas!, ecc.).
Viene riconosciuto anche come: Zafi.D, W32/Zafi.D, W32/Zafi.D@mm, Email-Worm.Win32.Zafi.d, W32/Zafi-D, W32/Zafi.d@MM

Dettagli tecnici

Quando si esegue crea una copia di se stesso dentro le seguenti cartelle:

C:\s.cm (file creato dall’attivazione / disattivazione del servizio di Pianificazione Operazioni)
C:\Windows\System32\
C:\Windows\System32\<nome_casuale>.DLL
C:\Windows\System32\<nome_casuale>.EXE
C:\Windows\System32\Norton Update.exe

A seconda della versione del sistema operativo, le cartelle "c:\windows" e "c:\windows\system32" possono variare ("c:\winnt", "c:\winnt\system32", "c:\windows\system").

Il worm crea le seguente chiave all’interno del Registro di sistema, in modo tale da essere eseguito in automatico ad ogni avvio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wxp4 = %system%\Norton Update.exe

Dove la variabile simbolica %system% rappresenta il percorso della cartella di sistema di Windows.
Crea inoltre la seguente chiave di Registro per conservare le informazioni che lo riguardano:

HKLM\SOFTWARE\Microsoft\Wxp4

Per trovare gli indirizzi ai quali inviare messaggi infetti, il worm compie una ricerca all’interno del computer infettato e li registra dentro dei file il cui nome viene scelto a caso e che hanno estensione ".DLL", infine salva questi nuovi file nella cartella di Sistema di Windows.

Esempi:

C:\Windows\System32\dectbnqa.dll
C:\Windows\System32\qbzeyuim.dll
C:\Windows\System32\mntvcoop.dll
C:\Windows\System32\zwxvaghk.dll

I file che il worm controlla per ottenere gli indirizzi di posta hanno le seguenti estensioni:

adb
asp
dbx
eml
fpt
htm
inb
mbx
php
pmr
sht
tbb
txt
wab

Il worm non invia e-mail infette agli indirizzi contenenti le stringhe seguenti:

admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
secur
sopho
suppor
syman
trend
use
viru
webm
win
yaho

Per inviare se stesso agli indirizzi e-mail trovati, il worm usa un proprio motore SMTP (Simple Mail Transfer Protocol).
I messaggi inviati si presentano in lingue diverse.

Il messaggio inviato ha le seguenti caratteristiche:

Da: [mittente falso]

Oggetto: [ Fw: Merry Christmas!]

Testo del messaggio:

* Happy.... [emoicone] ....Hollydays! *

[mittente]

___________________________________________
http:/ /innocent.com/postcard.????? Picture
Size: 11 KB, Mail: ??????
+OK

Allegato: postcard.?????.zip

Dove "?????" rappresentano lettere e numeri scelti a caso. Esempi:

postcard.eqt8435.zip
postcard.zw31089.zip

Il worm si copia in tutte le cartelle dell’unità C: che contengano nel nome le stringhe "share", "upload" o "music".

Dopo crea una copia di se stesso all’interno delle cartelle trovate con uno dei seguenti nomi:

ICQ 2005a new!.exe
winamp 5.7 new!.exe

Tenta di terminare i processi riferiti ai software antivirus e in generale a tutte le applicazioni inerenti la sicurezza del sistema.

Per evitare di venir identificato o eliminato dal computer infettato tenta di impedire all’utente di eseguire qualunque applicazione contenga le seguenti stringhe:

reged
msconfig
task

Crea un mutex (mutual exclusion, oggetto di sincronizzazione di sistema) con nome:

Wxp4

Apre una backdoor sulla porta 8181, e la utilizza per creare ed eseguire file.

Istruzioni per l'eliminazione

Disattivare il ripristino automatico di configurazione in Windows XP/ME.

Eseguire una scansione del disco utilizzando l’antivirus aggiornato e cancellare tutti i file infetti

Da Start, Esegui, scrivere REGEDIT e premere Invio per accedere al Registro di sistema

Eliminare sotto la colonna "Nome", il valore "Wxp4", nella seguente chiave di Registro
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Eliminare la cartella "Wxp4" nella seguente chiave di Registro
HKLM\SOFTWARE\Microsoft\Wxp4

Chiudere l’editor del Registro di sistema

Riavviare il computer ed eseguire una scansione del disco utilizzando l’antivirus aggiornato per cancellare qualsiasi presenza residua del worm.

[klimt78]

eccolo già bello e arrivato sul mio pc...
come si può ben notare avg(aggiornatissimo) nemmeno lo ha considerato.....

mi ha salvato zonealarm perchè lo ha bloccato in quanto file pericoloso.
meno male...........

[klimt78]

ri-edito...col priority update del 14/12(nell'img è al 9/12) lo ha riconosciuto....

meglio così va!

[cagnaluia]

trendmicro continua a nn riconoscerlo.

avast aggioranto, si.

[luca79]

Ciao a tutti siccome ho appena ripulito un'intera rete da questo virus se può essere d'aiuto vi do alcune dritte per eliminarlo (utenti con norton antivirus)

1-Aggiornare norton (qualsiasi versione)
2- Tasto destro su risorse del computer
3- Cliccare su ripristino configurazione di sistema
4- spuntare disattiva ripristino configurazione su tutte le unità.
5- riavviare il sistema in modalità provvisoria
6- far partire la scansione

Vedrete che lo rileva e lo elimina
Finito il procedimento, riavviare in modalità normale e tutto torna come prima

RICORDATEVI DI TORNARE SU CONFIGURAZIONE DI SISTEMA E TOGLIERE LO SPUNTO SU DISATTIVA RIPRISTINO.........

a ME HA FUNZIONATO ALLA GRANDE

[cagnaluia]

Quote:

Originariamente inviato da luca79
Ciao a tutti siccome ho appena ripulito un'intera rete da questo virus se può essere d'aiuto vi do alcune dritte per eliminarlo (utenti con norton antivirus)

1-Aggiornare norton (qualsiasi versione)
2- Tasto destro su risorse del computer
3- Cliccare su ripristino configurazione di sistema
4- spuntare disattiva ripristino configurazione su tutte le unità.
5- riavviare il sistema in modalità provvisoria
6- far partire la scansione

Vedrete che lo rileva e lo elimina
Finito il procedimento, riavviare in modalità normale e tutto torna come prima

RICORDATEVI DI TORNARE SU CONFIGURAZIONE DI SISTEMA E TOGLIERE LO SPUNTO SU DISATTIVA RIPRISTINO.........

a ME HA FUNZIONATO ALLA GRANDE

io lho tolto direttamente con:

1. kill processo worm
2. erase system32\norton update.exe
3. registro

reboot

tutto ok

[Zebiwe]

Ne parla pure il corriere: qui


Byezz

[Fr@nkie]

Quote:

Originariamente inviato da Zebiwe
Ne parla pure il corriere: qui


Byezz

LOLLONE: dal corriere "L'ultimo, e il più subdolo della serie è il virus Zafi.D che può arrivare tramite un'email con indirizzo W32.Erkez.D@mm

Può arrivare da "w32.erkez.d..."?????

Mi sa mi sa che ci vuole una ripassatina... si saranno accorti che quello è il worm e non l'indirizzo da cui proviene???

[Zebiwe]

Quote:

Originariamente inviato da Fr@nkie
LOLLONE: dal corriere "L'ultimo, e il più subdolo della serie è il virus Zafi.D che può arrivare tramite un'email con indirizzo W32.Erkez.D@mm

Può arrivare da "w32.erkez.d..."?????

Mi sa mi sa che ci vuole una ripassatina... si saranno accorti che quello è il worm e non l'indirizzo da cui proviene???

In verità lo loro logica non fa una grinza.. @-->indirizzo email.. staranno pure cercando di contattare il possessore del dominio mm

Byezz

[raceman]

Per chi ha aperto l'allegato Zafi.d worm cleaner by nod32

[BonOVoxX81]

Quote:

Originariamente inviato da raceman
Per chi ha aperto l'allegato Zafi.d worm cleaner by nod32

La mia ragazza l'ha appena preso

Con questo tool glielo tolgo competamente?

[gabrlott]

Quote:

Originariamente inviato da Fr@nkie
LOLLONE: dal corriere "L'ultimo, e il più subdolo della serie è il virus Zafi.D che può arrivare tramite un'email con indirizzo W32.Erkez.D@mm

Può arrivare da "w32.erkez.d..."?????

Mi sa mi sa che ci vuole una ripassatina... si saranno accorti che quello è il worm e non l'indirizzo da cui proviene???

ciao io ho un problema con questo worm potreste aiutarmi ad eliminarlo? io uso kaspersky 5.0 ma non riesco ad eliminarlo. discussione : http://forum.hwupgrade.it/showthread...hreadid=838869

[ChenDream]

Voi sapete se esiste un virus che va a paciugare l'aspetto di windows xp?
Il pc di mia zia ha installato windows xp e aveva l'interfaccia xp con combinazioni di colori blu. Mi ha detto che un giorno mentre lo usava, allìimprovviso windows ha impostato l'interfaccia di winows classica e adesso non si può più riportarla indietro.