Background Print only logo
Viestintäviraston etusivulle
Etusivu | Varoitukset | Tietoturva nyt! | Haavoittuvuudet | Ohjeet | Katsaukset | Palvelut | Esitykset |

CERT-FI

PL 313
00181 Helsinki
Puh: 09 6966 510
Fax: 09 6966 515

Salausavaimet

Viestintävirasto

Itämerenkatu 3 A
00180 HELSINKI
Puh: 09 6966 500
Fax: 09 6966 410

Tarkat yhteystiedot

Tietoa evästeistä

CERT-FI Facebookissa

 Etusivu > Varoitukset > 2004 > CERT-FI varoitus 87/2004

CERT-FI varoitus 87/2004

14.12.2004

Zafi.D-mato leviää suomenkielisenä

Zafi.D on sähköpostimato, joka on aloittanut leviämisensä 14.12.2004. Mato leviää pääosin sähköpostin välityksellä, joka sisältää joulutervehdyksen. Osa madon lähettämistä sähköposteista sisältää suomenkielistä tekstiä. Zafi.D leviää myös muille kielillä kirjoitettuna.

Mato leviää sähköpostin liitetiedostona pakattuna .pif, .cmd, .bat, .com tai .zip -formaattiin. Liitetiedoston nimet ja niissä käytettävät sanojen järjestykset vaihtelevat. Sähköpostin liitetiedostoa avattaessa mato saattaa esittää tietojärjestelmän käyttäjälle hämäystarkoituksessa seuraavan virheilmoituksen: "Error in packed file"

Aktivoiduttuaan Zafi.D kopioi itsensä Windows System -hakemistoon mielivaltaisella .DLL -nimellä ja/tai nimellä "Norton Update.exe". Mato lisää kohdejärjestelmän rekisteriasetuksiin käyttämänsä .exe -tiedoston nimen seuraavaan rekisterin kohtaan:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Mato luo Windows System -hakemistoon myös useita muita tiedostoja vaihtelevilla nimillä ja .dll -laajennuksilla. Mato säilyttää omaa ohjelmakoodiaan luomissaan hakemistoissa.

Mato käy läpi kohdejärjestelmän hakemistoja ja kopioi itsensä seuraavilla nimillä niihin hakemistoihin, joiden nimistä löytyvät sanat 'share', upload' tai 'music':

winamp 5.7 new! sekä ICQ 2005a new!.exe

Mato etsii sähköpostiosoitteita Windowsin osoitekirjasta sekä muista tiedostoista. Mato sisältää oman sähköpostin lähetykseen tarkoitetun komponentin (SMTP-engine) sekä se kykenee lähettämään itsensä myös eri avointen sähköpostipalvelinten kautta (SMTP Relay).

Madon sisältämä viesti suomeksi sisältää seuraavat tiedot:

Lähettäjä: M. Virtanen
Subject: Christmas postikorti!
Iloista Joulua!
:) [vastaanottaja]

Madon sisältämät viestit sisältävät myös pienen .gif -muotoon pakatun kuvatiedoston.

Zafi.D sulkee kohdejärjestelmästä kaikki ne sovellukset, joiden nimet liittyvät palomuuriin tai virustorjuntaan. Tämän jälkeen mato ylikirjoittaa nämä palomuuriin tai virustorjuntaan liittyvien sovelluksien nimet (firewall, virus).

Mato estää useiden Windows-käyttöjärjestelmän ohjelmistojen käytön ollessaan aktiivinen. Tällaisia ohjelmistoja ovat mm. Task Manager (tehtävien hallinta) sekä Registry Editor (rekisterieditori).

Mato sisältää takaporttin, joka kuuntelee saastuneen tietojärjestelmän TCP- porttia 8181. Mato voi ladata tiedostoja ja suorittaa niitä takaportin avulla saastuneessa tietojärjestelmässä.

VAROITUKSEN KOHDERYHMÄ:

  • Windows-käyttöjärjestelmällä varustetut tietojärjestelmät

RATKAISU- JA RAJOITUSMAHDOLLISUUDET:

  • Käytä ajantasaista virustorjuntaohjelmistoa

  • Älä avaa liitetiedostoja ennen virustarkastusta

  • Tuhoa Zafi.D:n sisältämät sähköpostiviestit välittömästi

LISÄTIETOA:

http://www.europe.f-secure.com/v-descs/zafi_d.shtml

http://www.sophos.com/virusinfo/analyses/w32zafid.html

http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=130371

PÄIVITYSHISTORIA:

14.12.2004: Julkaistu
Sivua päivitetty 30.11.2006   Tulostusversio Tulostusversio