Ha bisogno di assistenza? Chieda alla community oppure consulti un esperto.
Vai ad Avira Answers
Nome del virus:Worm/Kafs.A
Scoperto:13/12/2012
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:15.673 Byte
Somma di controllo MD5:DCE647910FF508DA7B48577C218F6050
Versione VDF:7.11.53.216

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%stringa di caratteri casuale%.dll
   • %SYSDIR%\AntiVirus Update.exe



Vengono creati i seguenti file:

File non maligno:
   • %SYSDIR%\%stringa di caratteri casuale%.dll

– Un file che contiene gli indirizzi email recuperati:
   • %SYSDIR%\%stringa di caratteri casuale%.dll

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

%System Root Drive%\z.m Questo un file di testo non maligno che contiene informazioni sul programma stesso.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



Viene aggiunta la seguente chiave di registro:

[HKLM\SOFTWARE\Microsoft\Zi5]

 Email Contiene un motore SMTP integrato per inviare le email. Verr stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
La lingua con cui la mail viene spedita dipende dal dominio di primo livello.


Da:
Lindirizzo del mittente l'account Outlook dell'utente.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
L'oggetto dell'email costruito estrapolandolo dai seguenti:

    A volte inizia con uno dei seguenti:
   • FW:
   • RE:

    Seguito da uno dei seguenti:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


Corpo dell'email:
– Contiene codice HTML.
Il corpo dellemail come il seguente:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %Nome utente dell'account email%
     Date: %data corrente%
     AV-Control: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %Nome utente dell'account email%
     Datum: %data corrente%
     AV-Kontrolle: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %Nome utente dell'account email%
     Detum: %data corrente%
     AV-Ellenfrzes: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filenev: %stringa di caratteri casuale%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %Nome utente dell'account email%
     Data: %data corrente%
     AV-Control: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %Nome utente dell'account email%
     Datum: %data corrente%
     AV-Control: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filenamn: %stringa di caratteri casuale%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %Nome utente dell'account email%
     Datum: %data corrente%
     AV-Controle: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %Nome utente dell'account email%
     Date: %data corrente%
     AV-Verification: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filenom: %stringa di caratteri casuale%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %Nome utente dell'account email%
     Data: %data corrente%
     AV-Controllare: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Nomefile: %stringa di caratteri casuale%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %Nome utente dell'account email%
     отображение даты: %data corrente%
     AV-контролер: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

A volte seguito da uno dei seguenti:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

    Seguito da uno dei seguenti:
   • foto%molte cifre casuali%
   • imag%molte cifre casuali%
   • pict%molte cifre casuali%
   • dscn%molte cifre casuali%

    L'estensione del file una delle seguenti:
   • .zip

L'allegato una copia del file creato: %SYSDIR%\%stringa di caratteri casuale%.dll



Lemail si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, aggiunge in testa al nome di dominio la seguente stringa:
   • mx.

 Processi terminati  Non permette l'esecuzione di processi che contengono una delle seguenti stringhe nel nome file:
   • reged
   • msconfig
   • task

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Andrei Gherman su mercoledì 12 ottobre 2005
Descrizione aggiornata da Andrei Gherman su giovedì 13 ottobre 2005

Indietro . . . .
https:// Questa finestra è criptata per tua sicurezza.