Akute Updates: Email-Worm.Win32.Zafi.d und Email-Worm.Win32.Atak.g
Es wurden neue Varianten von Zafi und Atak entdeckt. Sie werden mit den aktuellen Virensignaturen erkannt. Für AVK-Kunden mit Private Support wurde ein Urgent Update freigeschaltet. Updaten wird empfohlen.
Zafi.d ist ein multilingualer Wurm, der sich per Email oder in P2P-Netzwerken verbreitet. Die Emails kommen als Weihnachtsgrüße per Email. Je nach Empfängeradresse wählt Zafi.d die Sprache. Das machte seinen Vorgänger Zafi.b zu einem der erfolgreichsten Würmer des Jahres 2004.
Wenn der Wurm z.B. durch Öffnen des Mailanhangs ausgeführt wird, zeigt er eine Fehlermeldung "Error in packed file!" an. Er kopiert sich auf den Rechner, registriert sich und sucht nach Email Adressen, an die er sich verschickt, wenn sie bestimmte Filterkriterien erfüllen. Er kopiert sich als "winamp 5.7 new!.exe" und "ICQ 2005a new!.exe" in Ordner, deren Namen "share", "upload" oder "music" enthalten. So ist er auch in Netzwerkfreigaben und P2P-Tauschbörsen unterwegs. Er beendet Systemprogramme wie Regedit, MSConfig, Taskmonitor und den Taskmanager. Er versucht auch, Firewalls und AV-Software zu beenden.
Atak.g verbreitet sich als ZIP-Anhang von englischen Emails. Die Betreffzeile ist aus mehreren Teilen zusammengesetzt:
1. "Get", "Have a", "Make", "Stay", "True"
2. Love
3. "and get money", "for fun", "human spirit", "Not spam", "Not Wars", "to other", "will freedom", "with me"
4. ein Smiley
Im Nachrichtentext wird auf eine Änderung von Accountdaten hingewiesen, die man angeblich im Anhang findet. Der Dateianhang heißt "note.zip", "part001.zip", "print.zip", "separate_file.zip", "textfile.zip" oder "white_paper.zip". Wenn der Wurm ausgeführt wird, kopiert er sich unter zufälligem Namen in das %SYSTEM%-Verzeichnis des Rechners, trägt sich in der Registry oder auf Win 9x Rechnern in der Datei win.ini ein, so dass er bei jedem Rechnerstart aktiviert wird. Danach sucht er in HTM, EML ASP oder DBX Dateien nach Emailadressen, an die er sich verschickt.
Die aktuellen Virensignaturen des AVK erkennen beide Neulinge. Für Kunden mit Private Support ist ein Urgent Update freigeschaltet. Es wird empfohlen, die Virensignaturen umgehend zu aktualisieren.
Weitere Informationen:
Zafi.d im Virenlexikon des Antiviruslab
Atak.g im Virenlexikon des Antiviruslab
© 2007 - 2012 G Data Software AG. Todos os direitos reservados.
