Forum: Multimedia & Telekommunikation

Zafi.D: Wurm tarnt sich als...

Autor	Beitrag
(Giuliano)	Zafi.D: Wurm tarnt sich als Weihnachtsgruß Die Antivirenexperten warnen vor dem Wurm W32/Zafi.D-mm, einem neuen Spross der Zafi-Virenfamilie. Der Schädling tarnt sich laut einem Bericht unserer Schwesterpubliation Tecchannel als Weihnachtsgruß und versucht sich so unter die derzeit von vielen Benutzern verschickten Gruß-Mails zu mogeln. Sicherheitsexperte MessageLabs hat eigenen Angaben zufolge bislang 25.000 Exemplare abgefangen. Das erste bereits am 13. Dezember. Antivirenspezialist Sophos vermutet den Ursprung des Schädlings in Ungarn. Zumindest war die ursprüngliche Version in ungarischer Sprache gehalten. Der Absender der Mails ist gefälscht, das Betreff-Feld lautet auf "Merry Christmas" und ähnliche Grußformeln, darunter auch spanische und französische. W32/Zafi.D bringt eine eigene SMTP-Engine zum Massenversand mit, kann sich nach Erkenntnissen von MessageLabs aber auch via P2P-Applikationen verbreiten. Das Attachement tarnt sich nur über den Dateinamen als Weihnachtsgruß (giftcard, wishcard, xmascard etc), die Dateiendungen dagegen - ".cmd", ".bat" und ".com" - sollten den Benutzer stutzig machen. Obwohl der Empfänger das Attachement manuell starten muss, scheint Zafi im Vorweihnachtstrubel auf viele arglose Benutzer zu treffen. "Gefälschte Weihnachtsgrüße wie dieser tauchen alle Jahre wieder auf", kommentieren Antivirenexperten von F-Secure die Weihnachtsmasche. Einmal gestartet erscheint laut Sophos zur weiteren Tarnung eine Fehlermeldung ("Error in packed file") unterdessen versucht der Wurm Firewall und Antivirus-Anwendungen auszuschalten. Tools wie der Task-Manager und der Registry-Editor können ebenfalls in ihrer Funktion gestört sein, berichtet MessageLabs . Zafi.D verfügt über eine Remote-Access-Komponente, die auf Verbindungen über TCP Port 8181 wartet. Remote-Angreifer können über diese Hintertür Dateien laden und ausführen. Die Antivirenhersteller haben ihre Signaturen überwiegend bereits auf den neuesten Stand gebracht. Quelle: www.pcwelt.de Zuletzt bearbeitet von (Giuliano) am 06.01.2005 17:56 cU L8tEr aLiGaToR mFg, Giuliano. 06.01.2005 03:38
BobbyEmperor Oberösterreichisches Mitglied	Kannst du bei solchen Meldungen bitte eine Quellenangabe dazugeben, wo die Info herkommt? Sonst müssen wir davon ausgehen, dass du solche Dinge frei erfindest... Und bitte nicht jede Virenmeldung hier posten, sowas interessiert kein Schwein mehr, es gibt täglich ein paar Viren, die irgendwie sowas machen... Sometimes the roads we take do not turn out to be the roads we envisioned them to be. Garth Brooks, booklet "the hits" 06.01.2005 15:00

Autor

Beitrag

(Giuliano)

Zafi.D: Wurm tarnt sich als Weihnachtsgruß

Die Antivirenexperten warnen vor dem Wurm W32/Zafi.D-mm, einem neuen Spross der Zafi-Virenfamilie. Der Schädling tarnt sich laut einem Bericht unserer Schwesterpubliation Tecchannel als Weihnachtsgruß und versucht sich so unter die derzeit von vielen Benutzern verschickten Gruß-Mails zu mogeln.

Sicherheitsexperte MessageLabs hat eigenen Angaben zufolge bislang 25.000 Exemplare abgefangen. Das erste bereits am 13. Dezember. Antivirenspezialist Sophos vermutet den Ursprung des Schädlings in Ungarn. Zumindest war die ursprüngliche Version in ungarischer Sprache gehalten. Der Absender der Mails ist gefälscht, das Betreff-Feld lautet auf "Merry Christmas" und ähnliche Grußformeln, darunter auch spanische und französische.

W32/Zafi.D bringt eine eigene SMTP-Engine zum Massenversand mit, kann sich nach Erkenntnissen von MessageLabs aber auch via P2P-Applikationen verbreiten.

Das Attachement tarnt sich nur über den Dateinamen als Weihnachtsgruß (giftcard, wishcard, xmascard etc), die Dateiendungen dagegen - ".cmd", ".bat" und ".com" - sollten den Benutzer stutzig machen.

Obwohl der Empfänger das Attachement manuell starten muss, scheint Zafi im Vorweihnachtstrubel auf viele arglose Benutzer zu treffen. "Gefälschte Weihnachtsgrüße wie dieser tauchen alle Jahre wieder auf", kommentieren Antivirenexperten von F-Secure die Weihnachtsmasche.

Einmal gestartet erscheint laut Sophos zur weiteren Tarnung eine Fehlermeldung ("Error in packed file") unterdessen versucht der Wurm Firewall und Antivirus-Anwendungen auszuschalten. Tools wie der Task-Manager und der Registry-Editor können ebenfalls in ihrer Funktion gestört sein, berichtet MessageLabs .

Zafi.D verfügt über eine Remote-Access-Komponente, die auf Verbindungen über TCP Port 8181 wartet. Remote-Angreifer können über diese Hintertür Dateien laden und ausführen. Die Antivirenhersteller haben ihre Signaturen überwiegend bereits auf den neuesten Stand gebracht.

Quelle: www.pcwelt.de

Zuletzt bearbeitet von (Giuliano) am 06.01.2005 17:56

cU L8tEr aLiGaToR
mFg, Giuliano.

06.01.2005 03:38

BobbyEmperor

Oberösterreichisches Mitglied

Kannst du bei solchen Meldungen bitte eine Quellenangabe dazugeben, wo die Info herkommt? Sonst müssen wir davon ausgehen, dass du solche Dinge frei erfindest...

Und bitte nicht jede Virenmeldung hier posten, sowas interessiert kein Schwein mehr, es gibt täglich ein paar Viren, die irgendwie sowas machen...

Sometimes the roads we take do not turn out to be the roads we envisioned them to be.
Garth Brooks, booklet "the hits"

06.01.2005 15:00