14.12.2004

IN THE WILD

Wurm "Zafi.D" wünscht "Merry Christmas"

Alle Jahre wieder kommt der Weihnachtswurm auf die User nieder: Heuer heisst er "Zafi.D". Der seit Juni bekannte Wurm wurde der Jahreszeit entsprechend umgeschrieben, d.h. "Zafi.D" versendet sich als Weihnachtsgruß.

Offenbar genügt ein Betreff wie "Merry Christmas!" Ende des Jahres 2004 noch immer, um eine bestimmte Zahl von Usern zu motivieren, auf ein Attachment mit der Dateiendung .pif, .cmd, .bat, oder .com zu klicken. In Österreich liegen bereits konkrete Schadensmeldungen aus einzelnen Unternehmen vor.

Sobald "Zafi.D" gestartet ist, erstellt er eine Datei mit variablem Namen und der Dateiendung .DLL sowie eine Datei die gemeinerweise nach einem der populärsten Virenschutzprodukte "Norton Update.exe" heißt und in die Registry eingetragen wird.

Leider spricht viel dafür, dass diese eher anspruchslose Variante nicht der letzte Virus sein wird, der bis 24. Dezember in Umlauf kommt.

Verbreitung und Schadensroutinen

Neben der üblichen Distribution via E-Mail nützt "Zafi.D" auch Filesharing zur Verbreitung. Er durchsucht den PC nach Verzeichnissen mit den Namen "share", "upload" oder "music" und kopiert sich mit dem Namen "winamp 5.7 new!.exe" oder "ICQ 2005a new!.exe" in die jeweiligen Verzeichnisse.

Einmal aktiviert schließt "Zafi.D" alle Programme die "firewall" oder "virus" im Namen enthalten, das Notepad, der Registry-Editor und andere Programme werden am Start gehindert.

Dazu baut "Zafi.D" via Port 8181 eine Hintertür ein, über die der befallene PC in einen "Zombie" verwandelt werden kann, um ihn für Spamming zu missbrauchen.