Zafi.D augura buon natale a tutti

Zafi.D augura buon natale a tutti

Una nuova variante del worm Zafi si sta rapidamente diffondendo attraverso le e-mail camuffata da cartolina di auguri.

di Marco Giuliani pubblicata il , alle 08:41 nel canale Sicurezza
 
Anche per Natale i virus writers hanno fatto il proprio regalo agli utenti di internet.
É stata isolata infatti una nuova variante dei worm Zafi che si sta rapidamente diffondendo in tutto il mondo.

Zafi.D si diffonde utilizzando e-mail scritte in inglese, italiano, spagnolo, russo, svedese e moltre altre lingue.

L'e-mail è una semplice cartolina di auguri, questo è un esempio scritto in inglese:

Sender: Pamela M.
Subject: Merry Christmas!
Happy HollyDays!
:) [Sender]

In altre lingue l'e-mail può essere:

Sender: T. Maria
Subject: boldog karacsony...
Kellemes Unnepeket!
:) [Sender]

Sender: N. Fernandez
Subject: Feliz Navidad!
Feliz Navidad!
:) [Sender]

Sender: V. Tatyana
Subject: ecard.ru
:) [Sender]

Sender: V. Jensen
Subject: Christmas Kort!
Glaedelig Jul!
:) [Sender]

Sender: J. Andersson
Subject: Christmas Vykort!
God Jul!
:) [Sender]

Sender: M. Emma
Subject: Christmas Postkort!
God Jul!
:) [Sender]

Sender: M. Virtanen
Subject: Christmas postikorti!
Iloista Joulua!
:) [Sender]

Sender: C. Lina
Subject: Christmas Atviruka!
Naulieji Metai!
:) [Sender]

Sender: S. Ewa
Subject: Christmas - Kartki!
Wesolych Swiat!
:) [Sender]

Sender: H. Irene
Subject: Weihnachten card.
Fröhliche Weihnachten!
:) [Sender]

Sender: R. Cornel
Subject: Prettige Kerstdagen!
Prettige Kerstdagen!
:) [Sender]

Sender: V. Dusan
Subject: Christmas pohlednice
Veselé Vánoce!
:) [Sender]

Sender: J. Martin
Subject: Joyeux Noel!
Joyeux Noel!
:) [Sender]

Sender: T. Antonio
Subject: Buon Natale!
Buon Natale!
:) [Sender]

Il worm include all'interno dell'e-mail anche una piccola gif animata.

Il nome dell'allegato è variabile, formato dalla parola "cartolina" nelle diverse lingue, alcuni numeri casuali e a caso alcune estensioni .pif, .cmd, .bat, .com or .zip.
In alcuni casi il nome dell'allegato può iniziare con "link", "christmas" o "index".

Una volta infettato il pc il worm si copia all'interno della directory di sistema di Windows creando una DLL con nome casuale e il file "Norton Update.exe".

Inoltre si aggiunge al registro di sistema sotto la voce:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wxp4" = "%System%\Norton Update.exe"

Crea inoltre un mutex, denominato "Wxp4", termina tutti i processi che contengono la stringa 'firewall' o 'virus' nel nome e si copia all'interno di tutte le directory che contengono nel nome la stringa 'share', 'upload' o 'music'.

Il worm inibisce l'uso di alcuni strumenti di Windows, come il Task Manager e l'editor di registro.

Infine apre una backdoor sulla porta 8181 da dove è possibile uploadare ed eseguire files da remoto.

Si consiglia di aggiornare il proprio antivirus e, se ne siete sprovvisti, visto che siamo a natale, fatevi un regalo: un buon antivirus!

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione

27 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
FabioCC15 Dicembre 2004, 09:18 #1
Si consiglia di aggiornare il proprio antivirus e, se ne siete sprovvisti, visto che siamo a natale, fatevi un regalo: un buon antivirus!

Magari un bel kaspersky
Genesio15 Dicembre 2004, 09:25 #2
Uao ragazzi che onore! Sono stato il primo a sperimentare questo virus! Infatti mi è arrivato ieri in una bella mail proprio con scritto "Buon Natale" da una misteriosa sconosciuta. E' naturale però che, non essendo proprio un imbecille, ho evitato di aprire l'allegato, un bel file dal nome tipo "card8f64d.gif.index.zip.exe". Mah....come farà tutta sta gente a cascarci ancora....
cagnaluia15 Dicembre 2004, 09:32 #3
Originariamente inviato da Genesio
Uao ragazzi che onore! Sono stato il primo a sperimentare questo virus! Infatti mi è arrivato ieri in una bella mail proprio con scritto "Buon Natale" da una misteriosa sconosciuta. E' naturale però che, non essendo proprio un imbecille, ho evitato di aprire l'allegato, un bel file dal nome tipo "card8f64d.gif.index.zip.exe". Mah....come farà tutta sta gente a cascarci ancora....


non ti credo!

a che ora?



io lho beccato prima


guarda... ho scritto anche un post... sulla sezione antivir...

cmq.. bello sbattimento.. togliere sta trappola da tutti gli utenti in rete che lhanno aperto.. pensa...tanti rispondevano agli auguri, anche!!!
domi7815 Dicembre 2004, 09:37 #4

scusate la mia ingenuità...

ma per infettarsi con questo virus bisogna aprire l'allegato??

in caso affermativo non riesco a capire come possano diffondersi questi virus.

magari sono la minoranza le persone che, come me, non aprono mai allegati eseguibili, pero' mi sembra una precauzione cosi semplice.

e' vero anche che, in generale, immagino che i virus si possano anche nascondere all'interno di file scaricati con peertopeer oppure all'interno di exe divertenti che spesso ci si scambia per mail e quindi un antivirus sia necessario ma questi provenienti da mail ovviamente dubbie dovrebbero essere cestinate immediatamente.

Per questo mi domando se per non prendere il virus in questione basta non aprire l'allegato oppure gia guardando l'anteprima con outlook express ci si infetta?

grazie ciao
MaxArt15 Dicembre 2004, 09:38 #5

"Fatevi un regalo: un buon antivirus!"

Altro che buon antivirus, se sei tanto scemo da aprire un allegato da un emerito sconosciuto allora devi regalarti un bel bundle di neuroni nuovi!
Mystico15 Dicembre 2004, 09:45 #6
Mi è arrivato da l'indirizzo di tiscali! STRANO!
Era un certo antonio e mi proponeva delle gif animate da scaricare tramite allegato...Si come no!
cagnaluia15 Dicembre 2004, 09:51 #7

Re: scusate la mia ingenuità...

Originariamente inviato da domi78
ma per infettarsi con questo virus bisogna aprire l'allegato??




di solito si, serve aprire l'allegato...

oppure hai i livelli di protezione i.e. talmente bassi che possono permettere l'esecuzione di script dannosi
*ReSta*15 Dicembre 2004, 10:03 #8
l'antivirus non serve, basta nn aprire email di questi tipo...
Eddie66615 Dicembre 2004, 10:22 #9
giusto ieri sera se l'e' beccato mia sorella,che sebbene sia parecchio ingenua su certe cose (gli ho detto e ridetto un milione di volte di non aprire mai nulla!),ne ha beccato una versione particolarmente subdola:infatti nel mittente,invece che avere uno di quelli elencati in questa news,aveva come indirizzo un certo "dario.amicone@tiscali.it",che senz'altro l'ha tratta particolarmente in inganno.
Da quel che ho potuto vedere nella fase successiva di ripulitura il virus tende ad infettare l'.exe di winamp 5.xx e icq 2005.
ciao
Yesterday15 Dicembre 2004, 10:36 #10

Non sempre il mittente e' sconosciuto

Stamani, prima che sapessi della notizia, mi e' arrivato con l'indirizzo di un mio cliente. Mi sono insospettito solo perche' la gif animata erano 2 faccine intente in pratiche sessuali. Visto che la mittente e' una signora distina e un po' attempata ho mangiato la foglia e non ho aperto l'allegato. Se no... cmq l'antivirus e' stato aggiornato prima, pero' e un Norton, quindi poco mi fido. (e' aziendale, non ho scelta...)

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^