Zafi.Z 23.07.2010
Verbreitung:--->*****
Schaden:------>*****
Der Wurm Zafi.Z verstopft zurzeit die Postfächer. Angeblich soll im Anhang der E-Mail eine Grußkarte gespeichert sein.
Nach einem Doppelklick auf die im Anhang befindliche Datei, erhält man jedoch keine Grüße mitgeteilt, stattdessen installiert sich der Wurm auf dem betreffenden System.
Die E-Mail hat folgendes Aussehen
Betreff: „Flashcard fuer Dich!“ oder „Grußkarte fuer Dich!“
Dateianhang: link.flashcard.de.viewcard34.php.2672aB.pif
Größe des Dateianhangs: 12.800 Bytes.
E-Mail-Text: „Hallo! %Benutzernamen der Emailadresse des Absenders% hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://xxx/ Viel Spass beim Lesen wuenscht Ihnen ihr...“
Betroffene Betriebssysteme: Alle Windows-Versionen
Installation auf dem System
Wird der Anhang ausgeführt, kopiert sich der Wurm unter folgenden Dateinamen in das Windows-Systemverzeichnis:
• %SYSDIR%\%zufällige Buchstabenkombination%.exe
• %SYSDIR%\%zufällige Buchstabenkombination%.dll
• %zufällig ausgewähltes Verzeichnis%\%existierende Datei oder Verzeichnis%_update.exe
Es wird versucht folgende Datei auszuführen:
• %PROGRAM FILES%\Internet Explorer\iexplore.exe unter Zuhilfenahme folgender Kommandozeilen-Parameter: %besuchte URL%
Der folgende Registryschlüssel wird hinzugefügt um den Prozess nach einem Neustart des Systems erneut zu starten:
– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• _Hazafibb = %SYSDIR%\%zufällige Buchstabenkombination%.exe
Folgender weiterer Registryschlüssel wird hinzugefügt:
– [HKLM\SOFTWARE\Microsoft\_Hazafibb]
So schützen Sie Ihr System
Installieren Sie das neueste Update für Ihren Virenscanner und seien Sie vorsichtig gegenüber E-Mails von unbekannten Absendern –
besonders gegenüber E-Mails mit Links oder mit Anhang!