La segnalazione arriva da tutti i principali produttori di sistemi antivirus.
Informiamo i nostri lettori che si sta al momento diffondendo a macchio
d’olio, nel nostro Paese, il virus Zafi.d.
Dalle prime ore
di questo pomeriggio stiamo ricevendo centinaia e centinaia di e-mail infette, a
testimonianza di quanto il virus stia prendendo piede. Il worm sfrutta
l’occasione delle festività natalizie per indurre chi lo riceve a mandarlo in
esecuzione.
Zafi.d, infatti, si autospedisce attraverso la posta elettronica
presentandosi come una falsa cartolina di auguri.
L’oggetto del messaggio
contiene gli auguri di buon Natale nella lingua del destinatario dell’e-mail
infetta (italiano, inglese, spagnolo, svedese, russo,…).
L’allegato
contenente il codice virale può avere diverse estensioni: .pif, .cmd, .bat o
.com.
Anche i network peer-to-peer sono un ottimo veicolo per la diffusione
di Zafi che, una volta andato in esecuzione, Zafi.d ricerca possibili indirizzi
e-mail ai quali “autoinviarsi” all’interno dei file htm, wab, txt, dbx, tbb,
asp, php, sht, adb, mbx, eml, pmr, fpt, inb, presenti sul disco fisso.
Anche
Zafi.d – come gran parte dei virus in circolazione – specifica, come mittente
del messaggio, falsi indirizzi e-mail.
Al solito, non incolpate quindi i
proprietari degli indirizzi e-mail dai quali, apparentemente, sembra provenire
il virus (solo l’analisi degli header dell’e-mail rende possibile stabilire
l’indirizzo IP della macchina infetta dalla quale Zafi è partito).
Zafi.d apre anche la porta 8181 sulla macchina
“contagiata”, consentendo l’upload e l’esecuzione di file da sistemi remoti.
Inoltre, il worm copia se stesso nella cartella di sistema di Windows col nome
Norton Update.exe e crea un manipolo di file (sempre nella directory system) col
nome costituito da 8 caratteri casuali ed estensione .DLL (alcuni di essi sono
copie del worm, altri ancora i log delle attività compiute dal virus).
