Имя:Worm/Zafi.B
Обнаружен:11/06/2004
Вид:Червь
В реальных условиях:Да
Отмеченные факты заражения:Высокий
Потенциал распространения:От среднего до высокого
Потенциал повреждений:Средний
Файл статистики:Нет
Размер файла:12.800 байт.
Версия VDF:6.25.00.91

 Общее Методы распространения:
   • Email
   • Одноранговая сеть


Псевдонимы (аliases):
   •  Symantec: W32.Erkez.B@mm
   •  Mcafee: W32/Zafi.b@MM
   •  Kaspersky: Email-Worm.Win32.Zafi.b
   •  TrendMicro: PE_ZAFI.B
   •  F-Secure: Email-Worm.Win32.Zafi.b
   •  Sophos: W32/Zafi-B
   •  Panda: W32/Zafi.B.worm
   •  Grisoft: I-Worm/Zafi.B
   •  VirusBuster: I-Worm.Zafi.B
   •  Eset: Win32/Zafi.B
   •  Bitdefender: Win32.Zafi.B@mm


Операционные системы:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Последствия:
   • Использует собственный почтовый движок
   • Снижает уровень настроек безопасности
   • Изменение реестра

 Файлы Создаются собственные копии:
   • %SYSDIR%\%случайная буквенная комбинация%.exe
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %случайно выбранная директория%\%существующий файл или папка%_update.exe



Следующие файлы будут переписаны.
%случайно выбранная директория%\%существующий файл или папка%

Расширение файла:
   • .exe



Удаляются следующие файлы:
   • %WINDIR%\fvprotect.exe
   • %WINDIR%\winlogon.exe
   • %WINDIR%\jammer2nd.exe
   • %WINDIR%\services.exe



Создаются следующие файлы:

– Незараженный файл:
   • c:\sys.txt

– Файлы с содержащимися в них Email адресами:
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll
   • %SYSDIR%\%случайная буквенная комбинация%.dll




Попытка запустить на выполнение следующий файл:

– Имя файла:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
с помощью следующего параметра командной строки: %посещенные URL%

 Реестр Добавляется ключ реестра для повторного запуска процесса после перезагрузки системы.

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • _Hazafibb = %SYSDIR%\%случайная буквенная комбинация%.exe



Добавляется следующий ключ реестра:

– [HKLM\SOFTWARE\Microsoft\_Hazafibb]

 Email Программа располагает собственным SMTP ядром для рассылки электронных писем. Устанавливается прямое соединение с удаленным сервером. Подробности приводятся здесь:
Язык отправленного почтового сообщения зависит от "национальности" домена высшего уровня.


От:
Адрес отправителя был фальсифицирован.


Кому:
– В определенных файлах системы были обнаружены электронные адреса.


Дизайн писем:
Тема: Don`t worry, be happy!
Текст письма:
   • I`m in hurry, but i still love ya...
     (as you can see on the picture)
     
     Bye - Bye: %пользовательская часть электронного адреса отправителя%
Прикрепленный файл:
   • www.ecard.com.funny.picture.index.nude.php356.pif
Тема: Check this out kid!!!
Текст письма:
   • Send me back bro, when you`ll be done...(if you know what i mean...)
     
     See ya, %пользовательская часть электронного адреса отправителя%
Тема: You`ve got 1 VoiceMessage!
Текст письма:
   • Dear Customer!
     
     You`ve got 1 VoiceMessage from voicemessage.com website!
     Sender: %пользовательская часть электронного адреса отправителя%
     You can listen your Virtual VoiceMessage at the following link:
     http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link.
     Send VoiceMessage! Try our new virtual VoiceMessage Empire!
     Best regards: SNAF.Team (R).
Прикрепленный файл:
   • link.voicemessage.com.listen.index.php1Ab2c.pif
Тема: Flashcard fuer Dich!
Текст письма:
   • Hallo!
     
     %пользовательская часть электронного адреса отправителя% hat dir eine elektronische Flashcard geschickt.
     Um die Flashcard ansehen zu koennen, benutze in deinem Browser
     einfach den nun folgenden link:
     http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
     
     Viel Spass beim Lesen wuenscht Ihnen ihr...
Прикрепленный файл:
   • link.flashcard.de.viewcard34.php.2672aB.pif
Тема: Ecard!
Текст письма:
   • De cand te-am cunoscut inima mea are un nou ritm!
     %пользовательская часть электронного адреса отправителя%
Прикрепленный файл:
   • link.showcard.index.phpAv23.ritm.pif
Тема: Ingyen SMS!
Текст письма:
   • ------------------------ hirdetés -----------------------------
     A sikeres 777sms.hu és az axelero.hu támogatásával újra
     indul az ingyenes sms küldõ szolgáltatás! Jelenleg ugyan
     korlátozott számban, napi 20 ingyen smst lehet felhasználni.
     Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
     lap kitöltése után azonnal igénybevehetõ! Bõvebb információt
     a www.777sms.hu oldalon találsz, de siess, mert az elsõ ezer
     felhasználó között értékes nyereményeket sorsolunk ki!
     ------------------------ axelero.hu ---------------------------
Прикрепленный файл:
   • regiszt.php?3124freesms.index777.pif
Тема: Importante!
Текст письма:
   • Informacion importante que debes conocer, -%пользовательская часть электронного адреса отправителя%
Прикрепленный файл:
   • link.informacion.phpV23.text.message.pif
Тема: E-Kort!
Текст письма:
   • Mit hjerte banker for dig!
Прикрепленный файл:
   • link.ekort.index.phpV7ab4.kort.pif
Тема: E-vykort!
Текст письма:
   • Till min Alskade...
Прикрепленный файл:
   • link.vykort.showcard.index.phpBn23.pif
Тема: E-Postkort!
Текст письма:
   • Vakre roser jeg sammenligner med deg...
Прикрепленный файл:
   • ink.postkort.showcard.index.phpAe67.pif
Тема: E-postikorti!
Текст письма:
   • Iloista kesaa!
Прикрепленный файл:
   • link.postikorti.showcard.index.phpGz42.pif
Тема: Atviruka!
Текст письма:
   • Linksmo gimtadieno!
Прикрепленный файл:
   • link.atviruka.showcard.index.phpGz42.pif
Тема: E-Kartki!
Текст письма:
   • W Dniu imienin...
Прикрепленный файл:
   • link.kartki.showcard.index.phpVg42.pif
Тема: Cartoe Virtuais!
Текст письма:
   • Te amo...
Прикрепленный файл:
   • link.cartoe.viewcard.index.phpYj39.pif
Тема: Er staat een eCard voor u klaar!
Текст письма:
   • Hallo!
     
     %пользовательская часть электронного адреса отправителя% heeft u een eCard gestuurd via de website nederlandse
     taal in het basisonderwijs...
     U kunt de kaart ophalen door de volgende url aan te klikken of te
     kopiren in uw browser link:
     http://postkaarten.nl/viewcard.show53.index=04abD1
     
     Met vriendelijke groet,
     De redactie taalsite primair onderwijs...
Прикрепленный файл:
   • postkaarten.nl.link.viewcard.index.phpG4a62.pif
Тема: Elektronicka pohlednice!
Текст письма:
   • Ahoj!
     
     Elektronick pohlednice ze serveru http://www.seznam.cz
     
Прикрепленный файл:
   • link.seznam.cz.pohlednice.index.php2Avf3.pif
Тема: E-carte!
Текст письма:
   • %пользовательская часть электронного адреса отправителя% vous a envoye une E-carte partir du site zdnet.fr
     Vous la trouverez, l\'adresse suivante link:
     http://zdnet.fr/showcard.index.php34bs42
     www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
     en 5 minutes, du dialogue en direct...
Прикрепленный файл:
   • link.zdnet.fr.ecarte.index.php34b31.pif
Тема: Ti e stata inviata una Cartolina Virtuale!
Текст письма:
   • Ciao!
     
     %пользовательская часть электронного адреса отправителя% ha visitato il nostro sito, cartolina.it e ha creato una
     cartolina virtuale per te! Per vederla devi fare click
     sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
     Attenzione, la cartolina sara visibile sui nostri server per
     2 giorni e poi verra rimossa automaticamente.
Тема: Tessek mosolyogni!!!
Текст письма:
   • Ha ez a kép sem tud felviditani, akkor feladom!
     
     Sok puszi: %пользовательская часть электронного адреса отправителя%
Тема: Soxor Csok!
Текст письма:
   • Szia!
     
     Aranyos vagy, jó volt dumcsizni veled a neten!
     Remélem tetszem, és szeretném ha te is küldenél képet
     magadról, addig is csók: %пользовательская часть электронного адреса отправителя%
Прикрепленный файл:
   • anita.image043.jpg.pif



Письмо могло бы выглядеть следующим образом:




 Отправка Поиск адресов:
Проверка следующих файлов на наличие в них электронных адресов:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr


Избегает обращение по адресу:
Не отправляются письма на адреса с одной из следующих последовательностей символов:
   • win; use; info; help; admi; webm; micro; msn; hotm; suppor; syma; vir;
      trend; panda; yaho; cafee; sopho; google; kasper; msn; office; nero;
      icq; game; winra; winzi; divx; movie; total; wina

 P2P Предпринимаемые для инфицирования других систем в одноранговой сети действия:   Производится поиск содержащих одну из следующих последовательностей знаков папок
   • share
   • upload

   При успешном завершении поиска создаются следующие файлы:
   • winamp 7.0 full_install.exe
   • Total Commander 7.0 full_install.exe

   Файлы являются копиями потенциально опасной программы

 Завершение процесса  Запрещает выполнение процессов со одной из следующих последовательностей знаков в названии файла:
   • regedit
   • msconfig
   • task

 DoS Непосредственно после запуска вредоносной программы начинается DoS атака следующих целей:
   • www.parlament.hu
   • www.virusbuster.hu
   • www.virushirado.hu
   • www.2f.hu

 Разное Мьютекс:
Создается мьютекс:
   • _Hazafibb

 Данные файла Язык программирования:
 Программа была написана на ассемблере.


Паковщик:
Для осложнения определения и сокращения размера файла он был запакован следующим паковщиком:
   • FSG

Описание добавил Andrei Gherman в(о) четверг, 28 июня 2007 г.
Описание обновил Andrei Gherman в(о) четверг, 28 июня 2007 г.

Назад . . . .
 
 
 
 

© 2012 Avira Operations GmbH & Co. KG. Все права защищены.