Datenrettung    News    Datenretter

Glossar    Erste Hilfe    Datenbackup    Computer & Hardware    News    Glossar    Viren & Trojaner    Viren-Katalog    AntiViren-Tools    Hack-Angriffe    Internes    Startseite    Partner    Sitemap    Unsere Banner    Presseinfo    Kontakt    Impressum

Viren : Virenkatalog A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9 I-Worm.Zafi.B alias: W32.Erkez.B@mm, W32.Zafi.B@mm I-Worm.Zafi.B versendet sich über seine eigene SMTP-Engine per eMail sowie verbreitet er sich über Filesharing-Programme wie KaZaa und Emule indem er sich in Verzeichnisse namens share oder upload kopiert. Wurde der Wurm durch Doppelklick aktiviert kopiert er sich mit zufälligem Namen und der Dateiendung DLL oder EXE in das Windows - System32 Verzeichnis. Wie bei allen Mailwürmern der letzten Zeit fälscht auch I-Worm.Zafi.B den Absender und versendet sich an alle auf dem infizierten PC gefundenen eMailadressen mit einigen Ausnahmen. Die eMailadressen sucht sich der Wurm aus den Dateien htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml und pmr. Alle gefunden Adressen werden in DLL-Dateien unter C:\Windows\system32 mit zufälligem Namen gespeichert. Beispiel: C:\WINNT\system32\kenbdplk.dll C:\WINNT\system32\zibscdes.dll C:\WINNT\system32\qfafsxoz.dll C:\WINNT\system32\zhzukrhp.dll C:\WINNT\system32\sdxsuwxt.dll In der Registry unter dem Eintrag HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb wird ein Verweis auf diese DLL-Dateinen angelegt. Folgende eMailadressteile erhalten diesen Wurm nicht per eMail: admi cafee google help hotm info kasper micro msn panda sopho suppor syma trend use vir webm win yaho Nachfolgend einige Beispiele wie der Wurm sich versendet: To: anita Subject: Ingyen SMS! Attachment: "regiszt.php?3124freesms.index777.pif" Body: ------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu --------------------------- To: claudia Subject: Importante! Attachment: "link.informacion.phpV23.text.message.pif" Body: Informacion importante que debes conocer, - To: katya Subject: Katya Attachment: "view.link.index.image.phpV23.sexHdg21.pif" To: eva Subject: E-Kort! Attachment: "link.ekort.index.phpV7ab4.kort.pif" Body: Mit hjerte banker for dig! To: marica Subject: Ecard! Attachment: "link.showcard.index.phpAv23.ritm.pif" Body: De cand te-am cunoscut inima mea are un nou ritm! To: anna Subject: E-vykort! Attachment: "link.vykort.showcard.index.phpBn23.pif" Body: Till min Alskade... To: erica Subject: E-Postkort! Attachment: "link.postkort.showcard.index.phpAe67.pif" Body: Vakre roser jeg sammenligner med deg... To: katarina Subject: E-postikorti! Attachment: "link.postikorti.showcard.index.phpGz42.pif" Body: Iloista kesaa! To: magdolina Subject: Atviruka! Attachment: "link.atviruka.showcard.index.phpGz42.pif" Body: Linksmo gimtadieno! ha To: beate Subject: E-Kartki! Attachment: "link.kartki.showcard.index.phpVg42.pif" Body: W Dniu imienin... To: Subject: Cartoe Virtuais! Attachment: "link.cartoe.viewcard.index.phpYj39.pif" Body: Content: Te amo... , To: alice Subject: Flashcard fuer Dich! Attachment: "link.flashcard.de.viewcard34.php.2672aB.pif" Body: Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr... To: eva Subject: Er staat een eCard voor u klaar! Attachment: "postkaarten.nl.link.viewcard.index.phpG4a62.pif" Body: Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs... To: hanka Subject: Elektronicka pohlednice! Attachment: "link.seznam.cz.pohlednice.index.php2Avf3.pif" Body: Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz - To: claudine Subject: E-carte! Attachment: "link.zdnet.fr.ecarte.index.php34b31.pif" Body: vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct... To: francesca Subject: Ti e stata inviata una Cartolina Virtuale! Attachment: "link.cartoline.it.viewcard.index.4g345a.pif" Body: Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente. To: jennifer Subject: You`ve got 1 VoiceMessage! Attachment: "link.voicemessage.com.listen.index.php1Ab2c.pif" Body: Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R). To: anita Subject: Tessek mosolyogni!!! Attachment: "meztelen csajok fociznak.flash.jpg.pif" Body: Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi: To: anita Subject: Soxor Csok! Attachment: "anita.image043.jpg.pif" Body: Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: )l@ To: jennifer Subject: Don`t worry, be happy! Attachment: "www.ecard.com.funny.picture.index.nude.php356.pif" Body: Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye: To: david Subject: Check this out kid!!! Attachment: "jennifer the wild girl xxx07.jpg.pif" Body: Send me back bro, when you`ll be done...(if you know what i mean...) See ya, Für die Verbreitung per Filesharing verwendet er wie schon oben beschrieben Verzeichnise mit dem Namen share oder Upload vom infizierten PC und C:\. Die Namen des I-Worm.Zafi.B für den Dateiaustausch lauten: Total Commander 7.0 full_install.exe winamp 7.0 full_install.exe File overwriting payload Schadensfunktionen: I-Worm.Zafi.B durchsucht den infizierten PC nach Antivirus und Firewall-Programmen, wird ein Programm gefunden so beendet er das Programm und überschreibt die Programmdatei mit seinem eigenen Wurmcode womit das Programm unbrauchbar wird und nur erneut installiert werden kann. Die manuelle Entfernung wird durch den Wurm erschwert da er Prozesse von regedit, msconfig und task sofort beendet. Linktipps: Unterkunft Breslau