Nume:Worm/Kafs.A
Descoperit pe data de:12/10/2005
Tip:Vierme
ITW:Nu
Numar infectii raportate:Scazut
Potential de raspandire:Mediu
Potential de distrugere:Scazut spre mediu
Fisier static:Da
Marime:15.673 Bytes
MD5:DCE647910FF508DA7B48577C218F6050
Versiune VDF:6.32.00.65

 General Metoda de raspandire:
   • Email


Alias:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efecte secundare:
   • Utilizeaza propriul motor de email
   • Modificari in registri


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarele locatii:
   • %SYSDIR%\%combinatie de caractere aleatoare%.dll
   • %SYSDIR%\AntiVirus Update.exe



Sunt create fisierele:

– Fisier inofensiv:
   • %SYSDIR%\%combinatie de caractere aleatoare%.dll

– Un fisier care contine adrese de e-mail:
   • %SYSDIR%\%combinatie de caractere aleatoare%.dll

– Fisiere temporare care pot fi sterse dupa aceea:
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

– %System Root Drive%\z.m Acesta este un fisier curat, care contine informatii despre programul in sine.

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



Se adauga in registrii sistemului:

– [HKLM\SOFTWARE\Microsoft\Zi5]

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Limba in care email-ul este trimis depinde de Top-Level-Domain.


De la:
De la: Adresa expeditorului este chiar contul Outlook al utilizatorului


Catre:
– Adrese de email gasite pe sistem.


Subiect:
Subiectul mesajului se compune din:

    Uneori incepe cu:
   • FW:
   • RE:

    continuand cu una din urmatoarele:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


Corpul email-ului:
– Contine cod HTML.
Corpul email-ului este:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %numele utilizatorului de cont email%
     Date: %data curenta%
     AV-Control: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filename: %combinatie de caractere aleatoare%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %numele utilizatorului de cont email%
     Datum: %data curenta%
     AV-Kontrolle: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filename: %combinatie de caractere aleatoare%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %numele utilizatorului de cont email%
     Detum: %data curenta%
     AV-Ellenfrzes: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filenev: %combinatie de caractere aleatoare%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %numele utilizatorului de cont email%
     Data: %data curenta%
     AV-Control: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filename: %combinatie de caractere aleatoare%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %numele utilizatorului de cont email%
     Datum: %data curenta%
     AV-Control: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filenamn: %combinatie de caractere aleatoare%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %numele utilizatorului de cont email%
     Datum: %data curenta%
     AV-Controle: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filename: %combinatie de caractere aleatoare%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %numele utilizatorului de cont email%
     Date: %data curenta%
     AV-Verification: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Filenom: %combinatie de caractere aleatoare%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %numele utilizatorului de cont email%
     Data: %data curenta%
     AV-Controllare: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     Nomefile: %combinatie de caractere aleatoare%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %numele utilizatorului de cont email%
     отображение даты: %data curenta%
     AV-контролер: http://%domeniul destinatarului%/%numele atasamentului fara extensie%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


Atasament:
Numele fisierului atasat este alcatuit dupa cum urmeaza:

–  Incepe cu unul din urmatoarele:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

Urmata uneori de una din urmatoarele:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

    Continuand cu una din urmatoarele:
   • foto%cateva cifre aleatoare%
   • imag%cateva cifre aleatoare%
   • pict%cateva cifre aleatoare%
   • dscn%cateva cifre aleatoare%

    Extensia fisierului este una din urmatoarele:
   • .zip

Atasamentul este o copie a fisierului creat: %SYSDIR%\%combinatie de caractere aleatoare%.dll



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Prefixeaza domeniile adreselor de email:
Pentru a afla IP-ul serverului de mail, adauga inaintea domeniului urmatorul sir de caractere:
   • mx.

 Terminarea proceselor  Opreste executia proceselor care contin unul din urmatoarele siruri de caractere in numele de fisier:
   • reged
   • msconfig
   • task

 Detaliile fisierului Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG

Description insérée par Andrei Gherman le mercredi 12 octobre 2005
Description mise à jour par Andrei Gherman le jeudi 13 octobre 2005

Retour . . . .