På www.C-cure.dk anvender vi cookies udelukkende til at give dig en god brugeroplevelse, når du udfylder formularer. Ved at klikke videre på dette site accepterer du samtidigt vores brug af cookies.

We use cookies in order to give you the best user experience, when filling out forms. By clicking on www.C-cure.dk you thereby accept our use of cookies.

 

Zafi.B ormen kan slukke antivirus programmer

Denne nye variant spredes på flere forskellige sprog.

F-Secure advarer mod en ny variant af Zafi email orm - Zafi.B – som først blev fundet “In the wild” Fredag d. 11/6. På grund af hastigheden, hvormed den spredes, blev advarselsniveau’et  hævet til Radar level 2,  Søndag d.13/6.

Ormen spreder sig via email i forskellige .PIF, .EXE, eller .COM -vedhæftninger.  Den sender også beskeder på flere forskellige sprog f.eks. på engelsk, italiensk, spansk, russisk, svensk, tysk eller finsk.

Som en typisk email orm samler Zafi.B addresser fra brugernes addressekartoteker og spreder sig ved at sende sig selv til disse adresser. Når ormen aktiveres, kopierer den sig selv ind i Windows System Directory med tilfældig .DLL og .EXE navn.  Herefter scanner ormen gennem alle directories i  systemet og replikeres enten som winamp 7.0 full_install.exe' eller 'Total Commander 7.0 full_install.exe' til alle foldere, som indeholder 'share' eller 'upload' i deres navn. I tillæg til dette stopper den alle applikationer, som har 'firewall' eller 'virus' i deres filnavn.

"Denne orm er svær, eftersom den har en funktionalitet, som kan lukke firewalls og antivirus programmer for at kunne sprede sig selv yderligere.  Noget andet specielt ved denne virus er, at den sender sine inficerede meddelelser på forskellige sprog. Dette kan forvirre nogle brugere og lede dem til at tro, at mailen er sikker og dermed åbner de mailen i god tro, og således vil ormen fortsætte sin spredning.

Et eksempel på en email besked sendt af Zafi.B kan se således ud:

Afsender: Jennifer
Emnet: eYou`ve got 1 VoiceMessage!
Vedhæftet: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Indhold:
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or
by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

Eksempler på ormen i andre sprogvarianter, samt mere udførlig teknisk beskrivelse kan findes på:  www.f-secure.com/v-descs/zafi_b.shtml

F-Secure Anti-Virus finder og fjerner Zafi.B ormen.

F-Secure Anti-Virus kan downloades fra www.f-secure.com.

Tilhørende nøglekoder kan hentes på C-cures medlemsområde.

Har du spørgsmål er du velkommen til at ringe til C-cure på 45 41 14 46

 

Powered by wpsnet.com