Tylko teraz Kaspersky Total Security w cenie Kaspersky Internet Security!  Sprawdź ofertę »

X

I-Worm.Zafi.b - lingwista

Jest to robak rozprzestrzeniający się przez internet jako załącznik zainfekowanych wiadomości e-mail, przy użyciu sieci lokalnej oraz za pośrednictwem sieci P2P. Powstał przy użyciu języka programowania Assembler, a jego rozmiar to 12 800 bajtów (kompresja FSG, rozmiar po rozpakowaniu - 33 292 bajty).

Instalacja

Po uruchomieniu robak kopiuje się do folderu systemowego Windows z losową nazwą i tworzy w rejestrze systemowym klucz auto-run:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"_Hazafibb"="%system%\[nazwa pliku robaka]">

W celu oznaczenia zainfekowanego systemu robak tworzy unikatowy identyfikator _Hazafibb.

W ostatniej fazie instalacji szkodnik zamyka następujące procesy:

fvprotect.exe
winlogon.exe
jammer2nd.exe
services.exe

Rozprzestrzenianie - poczta elektroniczna

Adresy ofiar pobierane są z plików posiadających następujące rozszerzenia:

  • HTM
  • WAB
  • TXT
  • DBX
  • TBB
  • ASP
  • PHP
  • SHT
  • ADB
  • MBX
  • EML
  • PMR

Robak nie wysyła zainfekowanych wiadomości e-mail pod adresy zawierających następujące teksty

  • win
  • use
  • info
  • help
  • admi
  • webm
  • micro
  • msn
  • hotm
  • suppor
  • syma
  • vir
  • trend
  • panda
  • yaho
  • cafee
  • sopho
  • google
  • kasper

Zainfekowane wiadomości e-mail

Teksty oraz nazwy załączników występujące w zainfekowanych wiadomościach e-mail są zależne od domeny odbiorcy. Poniżej znajduje się kompletne zestawienie w kolejności adres nadawcy/temat/treść/nazwa załącznika.

  • Domena .hu
    Anita
    Ingyen SMS!
    ------------------------ hirdetÝs -----------------------------
    
    A sikeres 777sms.hu Ýs az axelero.hu 
    tÓmogatÓsÓval jra indul az ingyenes 
    sms k?ld? szolgÓltatÓs! Jelenleg ugyan
    korlÓtozott szÓmban, napi 20 ingyen 
    smst lehet felhasznÓlni. K?ldj te is 
    SMST! NehÓny kattintÓs Ýs a mellÝkelt 
    regisztrÓci?s lap kit?ltÝse utÓn azonnal 
    igÝnybevehet?! B?vebb informÓci?t a 
    www.777sms.hu oldalon talÓlsz, de 
    siess, mert az els? ezer felhasznÓl? 
    k?z?tt ÝrtÝkes nyeremÝnyeket sorsolunk ki!
    
    ------------------------ axelero.hu ---------------------------

    regiszt.php?3124freesms.index777.pif

  • Domena .sp
    Claudia
    Importante!
    Informacion importante que debes conocer, -
    link.informacion.phpV23.text.message.pif

  • Domena .ru
    Katya
    Katya
    DAúADAOIUa OEIEoIEaU, ?ÉÓÁ_ÝÉA ÄA×OoËÉ, 
    ÁÎÁIOÎÁN ÍÁÓÔOdÂÁAÉN, dOËÁ × ÁÎOÓA É ×ÓA 
    ÉÚ×AÓÔÎUA ?III×UA ÉÚ×dÁÝAÎÉN. IÉÓÁ_ÝÉA ÄA×OoËÉ 
    dÁÚ×dÁÔÎUA oËIIOÎÉAU...
    
    view.link.index.image.phpV23.sexHdg21.pif

  • Domena .dk
    Eva
    E-Kort!
    Mit hjerte banker for dig!
    link.ekort.index.phpV7ab4.kort.pif

  • Domena .ro
    Marica
    Ecard!
    De cand te-am cunoscut inima 
    mea are un nou ritm!
    link.showcard.index.phpAv23.ritm.pif

  • Domena .se
    Anna
    E-vykort!
    Till min Alskade...
    link.vykort.showcard.index.phpBn23.pif

  • Domena .no
    Erica
    E-Postkort!
    Vakre roser jeg sammenligner med deg...
    link.postkort.showcard.index.phpAe67.pif

  • Domena .fi
    Katarina
    E-postikorti!
    Iloista kesaa!
    link.postikorti.showcard.index.phpGz42.pif

  • Domena .lt
    Magdolina
    Atviruka!
    Linksmo gimtadieno!
    link.atviruka.showcard.index.phpGz42.pif

  • Domena .pl
    Beate
    E-Kartki!
    W Dniu imienin...
    link.kartki.showcard.index.phpVg42.pif

  • Domena .pt
    Eva
    Cartoe Virtuais!
    Te amo...
    link.cartoe.viewcard.index.phpYj39.pif

  • Domena .de
    Alice
    Flashcard fuer Dich!
    Hallo!
    
    hat dir eine elektronische Flashcard geschickt.
    Um die Flashcard ansehen zu koennen, benutze 
    in deinem Browser einfach den nun folgenden link:
    http://flashcard.de/interaktiv/viewcards/
    view.php3?card=267BSwr34
    
    Viel Spass beim Lesen wuenscht Ihnen ihr...
    link.flashcard.de.viewcard34.php.2672aB.pif

  • Domena .nl
    Eva
    Er staat een eCard voor u klaar!
    Hallo!
    
    heeft u een eCard gestuurd via de website 
    nederlandse taal in het basisonderwijs...
    U kunt de kaart ophalen door de volgende 
    url aan te klikken of te kopiren in uw browser link: 
    http://postkaarten.nl/viewcard.show53.index=04abD1
    
    Met vriendelijke groet,
    De redactie taalsite primair onderwijs...
    postkaarten.nl.link.viewcard.index.phpG4a62.pif

  • Domena .cz
    Hanka
    Elektronicka pohlednice!
    Ahoj!
    
    Elektronick pohlednice ze serveru 
    http://www.seznam.cz
    link.seznam.cz.pohlednice.index.php2Avf3.pif

  • Domena .fr
    Claudine
    E-carte!
    vous a envoye une E-carte partir 
    du site zdnet.fr Vous la trouverez, 
    l'adresse suivante link:
    http://zdnet.fr/showcard.index.php34bs42
    www.zdnet.fr, plus de 3500 cartes virtuelles, 
    vos pages web en 5 minutes, 
    du dialogue en direct...
    link.zdnet.fr.ecarte.index.php34b31.pif

  • Domena .it
    Francesca
    Ti e stata inviata una Cartolina Virtuale!
    Ciao!
    
    ha visitato il nostro sito, cartolina.it 
    e ha creato una cartolina virtuale per te! 
    Per vederla devi fare click sul link sottostante: 
    http://cartolina.it/asp.viewcard=index4g345a
    Attenzione, la cartolina sara visibile sui 
    nostri server per 2 giorni e poi verra 
    rimossa automaticamente.
    link.cartoline.it.viewcard.index.4g345a.pif

  • Domena .mx
    Jennifer
    You`ve got 1 VoiceMessage!
    Dear Customer!
    
    You`ve got 1 VoiceMessage from 
    voicemessage.com website!
    You can listen your Virtual VoiceMessage 
    at the following link:
    http://virt.voicemessage.com/
    index.listen.php2=35affv
    or by clicking the attached link.
    
    Send VoiceMessage! Try our new 
    virtual VoiceMessage Empire!
    Best regards: SNAF.Team (R).
    link.voicemessage.com.listen.index.php1Ab2c.pif

    lub

    Anita
    Soxor Csok!
    Szia!
    
    Aranyos vagy, j? volt dumcsizni veled a neten!
    RemÝlem tetszem, Ýs szeretnÝm ha te is 
    k?ldenÝl kÝpet magadr?l, addig is cs?k:
    anita.image043.jpg.pif

  • Domena .at
    Anita
    Tessek mosolyogni!!!
    Ha ez a kÝp sem tud 
    felviditani, akkor feladom!
    Sok puszi: meztelen csajok fociznak.flash.jpg.pif

    lub

    Jennifer
    Don`t worry, be happy!
    Hi Honey!
    
    I`m in hurry, but i still love ya...
    (as you can see on the picture)
    
    Bye - Bye:
    www.ecard.com.funny.picture.index.nude.php356.pif

  • Pozostałe domeny:
    David
    Check this out kid!!!
    Send me back bro, when you`ll be 
    done...(if you know what i mean...)
    See ya,  
    jennifer the wild girl xxx07.jpg.pif

Rozprzestrzenianie - sieci lokalne oraz P2P

Robak umieszcza swoje kopie we wszystkich folderach, których nazwy zawierają słowo share lub upload. Nazwy tych kopii wybierane są z dwóch możliwości: winamp 7.0 full_install.exe lub Total Commander 7.0 full_install.exe.

Informacje dodatkowe

Robak tworzy plik sys.txt w folderze głównym dysku C.

Szkodnik podejmuje próby nadpisywania plików programów antywirusowych własną kopią.

Ponadto robak podejmuje próby przeprowadzania ataków DoS na następujące serwery:

  • www.2f.hu
  • www.parlament.hu
  • www.virusbuster.hu
  • www.virushirado.hu


 2004-06-12  

© 1997 - 2016 Kaspersky Lab

Wszelkie prawa zastrzeżone.
Lider na rynku rozwišązań antywirusowych