Wurm Win32.Zafi.D
Wir veröffentlichen neue Datenschutzrichtlinien um der europäischen DS-GVO, die ab dem 25.Mai 2018 in Kraft tritt, gerecht zu werden. Die neuen Datenschutzrichtlinien können Einfluss auf die Verwendung Ihrer Daten haben. Durch die weitere Nutzung unsere Webseiten stimmen Sie der Verwendung von Cookies, den neuen Datenschutzrichtlinien und den Geschäftsbedingungen zu.
Bitte loggen sie sich ein oder registrieren sie sich.

Einloggen mit Benutzername, Passwort und Sitzungslänge Bitte loggen sie sich ein oder registrieren sie sich.
Erweiterte Suche  

Autor Thema: Wurm Win32.Zafi.D  (Gelesen 1176 mal)

0 Mitglieder und 1 Gast betrachten dieses Thema.

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Wurm Win32.Zafi.D
« am: 16. Dezember 2004, 06:08:10 »

Allgemein

Worm.Win32.Zafi.d ist ein Wurm, der sich via eMail und FileSharing Programme verbreitet. Der Wurm wurde mit FSG gepackt und besitzt eine Größe von 11.745 Bytes.

Sobald Worm.Win32.Zafi.D gestartet wurde, kopiert er sich unter dem Namen \"Norton Update.exe\" ins Windows System Verzeichnis. Um seinen automatischen Start sicher zu stellen, wird folgender Registry Key erstellt:


[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run]

 \"Wxp4\"=\"%system%\\Norton Update.exe\"

Zusätzlich legt der Wurm weitere, teilweise gepackte oder modifizierte, Kopien von sich oder von benötigten Komponenten mit folgenden Namen ab:

%system%\\ .DLL



C:\\s.cm

Verbreitung

Worm.Win32.Zafi.D durchsucht den Computer nach Dateien deren Endungen einen der folgenden Strings enthalten, um aus ihnen eMail Adressen zu extrahieren:


htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb

Dabei werden eMail Adressen mit folgenden Begriffen im Namen vom Wurm ignoriert:

yaho
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper

Gefundene eMail Adressen werden in Dateien mit zufälligem Namen (8 zufällig gewählte Buchstaben + Endung „.dll“) im Windows System Verzeichnis gespeichert.

Wurm eMails tarnen sich als Weihnachtsgrüße. Je nach Endung der eMail Adresse wird jeweils eine andere Sprache für den Gruß genutzt.

Neben der Verbreitung über eMails nutzt Worm.Win32.Zafi.D auch FileSharing Programme für seine Zwecke. Er kopiert sich dabei in alle Verzeichnisse, die einen der folgenden Bestandteile im Namen enthalten:

share
upload
music

Dabei benutzt der Wurm die Dateinamen „winamp 5.7 new!.exe“ sowie „ICQ 2005a new!.exe“.


Schadensfunktion


Der Wurm versucht zum Selbstschutz verschiedene Anti-Virus Programme zu beenden und schließt Programme mit folgenden Bestandteilen im Namen:

 reged

msconfig

task

Neben dieser Selbstschutzfunktion enthält Worm.Win32.Zafi.D ebenfalls eine Backdoorkomponente, die auf Port 8181 auf eingehende Verbindungen wartet und die es ermöglicht beliebige Dateien auf ein infiziertes System zu laden und auszuführen.



Also haltet immer Eure Mühle mit der neusten Virendatenbank sauber.
Gespeichert

Xela

  • Ehrenmitglied
  • ***
  • :
  • Offline Offline
  • Beiträge: 3.503
Wurm Win32.Zafi.D
« Antwort #1 am: 17. Dezember 2004, 13:08:49 »

Nachtrag:


Aus eigener Erfahrung, mein Vater hat Ihn gestern.

Ich Beschreibe mal kurz die Schadensroutine und wie Ich Ihn gekillt habe.

Also Im Taskmanager macht sich ein Task Norton.update.exe breit.

Mein Vater hat nichts von Norton drauf.
Also Haben wir den task gekillt.
Lässt sich einfach beenden.

Vorher hat mein Dad mehrfach versucht seinen H&BEDV AntiVir Upzudaten, das war nicht möglich, da der Wurm nach kurzer Zeit die Internet Verbindung trennte.
Eine Neu Einwahl ohne Reboot war nicht Möglich.
Auch kamen ständig Bluescreens mit den unterschiedlichsten Fehlermeldungen.

Also hab ich meinem Dad per telefon Support gesagt, wie er vorzugehen hat.
Als erstes, hab ich Ihm das Löschtool, welches ich unten im Anhang beifüge gesendet.(Bitdefender)


Dann, Reboot und den Rechner im Abgesicherrten Modus Scannen lassen.
Anschließend empfehle ich noch den Rechner mit einem Spyware Scanner zu scannen.
Die Adressen für Spybot und AdAware sind wohl bekannt.




Removal Tool Zafi.D
Gespeichert