Részletes információk a Zafi, magyar nyelvű vírusról

Bár van olyan vírusírtó cég, amely szerint mérföldkőhöz érkeztünk, amikor a minap egy magyar nyelvű vírus jelent meg, azért ez túlzás, hiszen nem az első esetről van szó. De inkább következzenek a részletek a Zafival kapcsolatban.

Meglehetősen gyors ütemben terjed a Zafi (Kapes) féreg.
A vírus képeslapnak álcázza magát, a levélben található link azonban nem működik, a csatolt fájl megnyitásával a vírus aktivizálódik. A vírus Magyarországon szokatlanul gyorsan terjed, ami főként magyar nyelvének köszönhető.

A Zafi vagy más néven W32.Erkez.A@mm egy tömeges levéláradatot okozó féregvírus, mely önmagát elküldi a fertőzött gépen talált e-mail címekre, majd Magyarország európai uniós csatlakozásának napján egy kormányellenes politikai üzenetet jelenít meg a felhasználó számítógépén.

(Érdekesség, hogy a vírus ellen a Microsoft Office Outlook 2003 levelező program felhasználói védettebbek, hiszen az automatikusan zárolja az ártalmas mellékletet.)

A vírussal fertőzött gépre a %system% directory alá egy 8 karakter hosszú, véletlenszerű fájlnév alatt bemásolódó .exe fájl a következő registry key-t hozza létre:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Hazafi

hozzáadja a következő értéket
=%system%\.exe
a következő registry key-hez:
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
hogy a féreg elinduljon, ha a Windowst indítja a felhasználó.

A http://www.google.com oldal megnyitására tesz kísérletet, így próbál aktív internetelérést keresni, majd a következő eljárásokat leállítja:

dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe

A vírus a következő fájlokhoz is hozzányúl:
dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe

Valamint az alábbi kiterjesztésű fájlokba is betekint, tartalmaznak-ee valamilyen e-mail címet:
lnk
swp
ico
iso
dll
vxd
mp3
wav
avi
mpg
zip
rar
exe
com
wmv
cab
pk3
jpg
gif
bmp
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr

Érdekessség, hogy a következő töredék szavakat tartalmazó e-mail címekre nem küldi el magát:

microsoft
vir
trendmicro
avp
f-prot
hotmail
gov
anti
panda
norton

A vírus kilencedik lépésként az Internet Explorer használatával megnyitja az utoljára látogatott weboldalt, majd a következő e-mailt küldi:
feladó: kitalalt vagy [email protected]
targy:
kepeslap erkezett!
szoveg:
Tisztelt felhasználó!
Önnek képeslapja érkezett!
A képeslap feladója: A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=psp4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellékelt internetlink kattintásával.
Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/

Attachment:
link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com

Fontos tudni, hogy a féreg leállítja a Feladatkezelő és a Registry editor alkalmazásokat, ha azok az eredeti nevükkel futnak, átnevezve azonban futtathatóak.