Si presenta come una falsa cartolina d’auguri, ma in realtà racchiude un worm
Anche il nostro Paese sta diventando vittima del virus Zafi.d.
Il worm sfrutta l’occasione delle festività natalizie per indurre chi
lo riceve a mandarlo in esecuzione. Zafi.d, infatti, si autospedisce attraverso
la posta elettronica presentandosi come una falsa cartolina di auguri.
L’oggetto del messaggio contiene gli auguri di Buon Natale
nella lingua del destinatario dell’e-mail infetta (italiano, inglese, spagnolo,
svedese, russo,…).
L’allegato contenente il codice virale può avere diverse estensioni:
.pif, .cmd, .bat o .com.
Una volta andato in esecuzione, Zafi.d ricerca possibili indirizzi e-mail ai
quali "autoinviarsi" all’interno dei file htm, wab, txt, dbx, tbb,
asp, php, sht, adb, mbx, eml, pmr, fpt, inb, presenti sul disco fisso.
Anche Zafi.d – come gran parte dei virus in circolazione – specifica, come
mittente del messaggio, falsi indirizzi e-mail. Al solito,
non incolpate quindi i proprietari degli indirizzi e-mail dai quali, apparentemente,
sembra provenire il virus (solo l’analisi degli header dell’e-mail
rende possibile stabilire l’indirizzo IP della macchina infetta dalla quale
Zafi è partito).
Zafi.d apre anche la porta 8181 sulla macchina "contagiata",
consentendo l’upload e l’esecuzione di file da sistemi remoti.
Inoltre, il worm copia se stesso nella cartella di sistema di Windows col nome
Norton Update.exe e crea un manipolo di file (sempre nella
directory system) col nome costituito da 8 caratteri casuali ed estensione .DLL
(alcuni di essi sono copie del worm, altri ancora i log delle attività
compiute dal virus).
Questo è uno screenshot di un e-mail infetta da Zafi.d (versione inglese).
Cliccando qui è invece possibile esaminare il appena pubblicato
da F-Secure (in italiano)