Worm Zafi.D, mass-mailing di Natale

Il Worm si accompagna ad e-mail di auguri natalizi, ma sono già note infezioni avvenute attraverso piattaforme P2P per il file sharing, e per ora i paesi europei più esposti al codice di Zafi.d sono state Germania, Francia e Spagna. Proprio la caratteristica di diffondersi in più lingue fa di questo Worm una minaccia su larga scala, in quanto poco riconoscibile a prima vista. Il Virus, già isolato in Italia, si presenta nella nostra lingua con una cartolina di auguri con “oggetto”: “Re: Buon Natale!” – “Fw: Buon Natale!” – “Buon Natale!”. Nella variante italiana il Worm contiene un messaggio del tipo: “* Buon…. ….Natale! * :) (NOME UTENTE)”. L’e-mail contenente Zafi.d può inoltre includere una piccola Gif animata o file allegati (di solito da 12 Kb) con estensione .cmd, .bat, .com, .pif,o .zip, che hanno comunque in comune il fatto di richiamare una cartolina di auguri del tipo: “cartoline.christmas.index.jpg3051.zip”. Il nome del mittente non corrisponde al Pc infetto, in quanto il Worm pesca gli indirizzi dalla rubrica dei computer infettati e usati per propagarsi. Zafi.d è considerato un Virus abbastanza insidioso e, una volta in esecuzione, il Worm si insedia nel registro di Windows per tornare attivo ad ogni riavvio del PC. Per autospedirsi il Worm utilizza un proprio motore SMTP, in modo tale da passare inosservato agli occhi dell’utente, ed evita accuratamente di inviare e-mail infette alle società che si occupano di sicurezza e ai portali più famosi. Zafi.d, dopo aver infettato il Pc, si copia all’interno della directory di sistema di Windows creando una DLL con nome casuale e il file “Norton Update.exe”, dopodiché aggiunge una voce al registro di sistema. Questo Worm crea poi un “mutex”, chiamato “Wxp4″, capace di terminare tutti i processi che riguardano Firewall e Antivirus, copiandosi poi all’interno delle cartelle contenenti i termini: “share”, “upload” o “music”. Questo stratagemma consente al Worm di propagarsi attraverso le più diffuse reti per il file sharing. Oltre al comportamento già descritto, Zafi.d rende inutilizzabili alcune funzioni di Windows come come il Task Manager e l’editor di registro e apre una backdoor sulla porta 8181, da dove è possibile fare l’upload ed eseguire file da remoto. Nonostante la natura mutevole di Zafi.d si consiglia di prestare molta attenzione prima di aprire gli allegati e di munirsi di un Antivirus sempre aggiornato. Trend Micro ha comunque messo a disposizione uno scanner antivirus in grado di riconoscere Zafi.d e disponibile a questo indirizzo. Approfondimenti e contromisure per Zafi.d (o Erkez.D) sono presenti nelle pagine dedicate dei siti di Symantec (SSR), F-Secure e Trend Micro.

Appassionato di Attualità?

Leggi JUGO.it anche su Facebook

Vai alla Pagina Facebook di Jugo.it

    E se vuoi scopri e condividi anche tu le ultime notizie di Attualità:

    Ancora nessun commento

JUGO > Attualità > Worm Zafi.D, mass-mailing di Natale