80776

Zafi.D: Wurm tarnt sich als Weihnachtsgruß

15.12.2004 | 10:39 Uhr |

Bei Ihnen trudeln per Mail jetzt immer wieder Weihnachtsgrüße ein? Dann Vorsicht, denn der Wurm W32/Zafi.D tarnt sich als Weihnachtsgruß und versucht so, auf die Rechner zu gelangen.

Die Antivirenexperten warnen vor dem Wurm W32/Zafi.D-mm, einem neuen Spross der Zafi-Virenfamilie. Der Schädling tarnt sich laut einem Bericht unserer Schwesterpubliation Tecchannel als Weihnachtsgruß und versucht sich so unter die derzeit von vielen Benutzern verschickten Gruß-Mails zu mogeln.

Sicherheitsexperte MessageLabs hat eigenen Angaben zufolge bislang 25.000 Exemplare abgefangen. Das erste bereits am 13. Dezember. Antivirenspezialist Sophos vermutet den Ursprung des Schädlings in Ungarn. Zumindest war die ursprüngliche Version in ungarischer Sprache gehalten. Der Absender der Mails ist gefälscht, das Betreff-Feld lautet auf "Merry Christmas" und ähnliche Grußformeln, darunter auch spanische und französische.

W32/Zafi.D bringt eine eigene SMTP-Engine zum Massenversand mit, kann sich nach Erkenntnissen von MessageLabs aber auch via P2P-Applikationen verbreiten.

Das Attachement tarnt sich nur über den Dateinamen als Weihnachtsgruß (giftcard, wishcard, xmascard etc), die Dateiendungen dagegen - ".cmd", ".bat" und ".com" - sollten den Benutzer stutzig machen.

Obwohl der Empfänger das Attachement manuell starten muss, scheint Zafi im Vorweihnachtstrubel auf viele arglose Benutzer zu treffen. "Gefälschte Weihnachtsgrüße wie dieser tauchen alle Jahre wieder auf", kommentieren Antivirenexperten von F-Secure die Weihnachtsmasche.

Einmal gestartet erscheint laut Sophos zur weiteren Tarnung eine Fehlermeldung ("Error in packed file") unterdessen versucht der Wurm Firewall und Antivirus-Anwendungen auszuschalten. Tools wie der Task-Manager und der Registry-Editor können ebenfalls in ihrer Funktion gestört sein, berichtet MessageLabs .

Zafi.D verfügt über eine Remote-Access-Komponente, die auf Verbindungen über TCP Port 8181 wartet. Remote-Angreifer können über diese Hintertür Dateien laden und ausführen. Die Antivirenhersteller haben ihre Signaturen überwiegend bereits auf den neuesten Stand gebracht.

Aktuelle Sicherheitsnews auf PC-WELT

0 Kommentare zu diesem Artikel
80776