2004. június 11. péntek 22:39

 

Bővebb információk a Zafi féregről

 

Ha sokan dőlnek be a megtévesztő magyar e-mailnek, forró hétvége lesz a magyar vírusfronton.

 

Bizonyossággá vált: a Zafi.B vírus mögött is a magát SNAF Teamnek nevező pécsi csoport áll. Az A variánshoz hasonlóan ez is tartalmaz politikai üzenetet, amelyet a KFKI Security levelezőlistáján Boldi tett közzé. Eszerint "A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen!2004, jun, Pecs,(SNAF Team)." A vírus feltehetőleg nem véletlenül három nappal az EP-választások előtt jelent meg.

A féreg írója követi a "social engineering" módszereit, azaz a legemberibb érzésekre épít, a hordozó e-mailek üzenetei többek között a következők:

"Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet magadról, addig is csók:

Anita"

valamint

"eIngyen SMS!
"regiszt.php?3124freesms.index777.pif"
------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra indul az ingyenes sms küldő szolgáltatás! Jelenleg ugyan korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs lap kitöltése után azonnal igénybevehető! Bővebb információt a
www.777sms.hu oldalon találsz, de siess, mert az első ezer felhasználó között értékes nyereményeket sorsolunk ki!"

A Virusbuster további információkkal szolgál arról, hogy az üzenet spanyol, holland, portugál, svéd, norvég, dán, finn, spanyol, német, cseh, francia és természetesen angol nyelven is megjelent (feltéve, hogy ezen cikk írója helyesen azonosította az idegennyelvű mondatokat).

A fertőzés után egy "Hazafibb" nevű bejegyzés keletkezik a regisztrációs adatbázisban, a fertőző fájl pedig winamp 7.0 full_install.exe és Total Commander 7.0 full_install.exe néven helyezi el magát a merevlemezen. Ha a fertőzött gép csatlakozik az internetre, túlterheléses támadást indít a Parlament, a Virusbuster, a Vírushíradó és a 2F Kft. honlapja ellen.

Krasznay Csaba (BME IK ITSec Csoport - IHM-együttműködés)

Forrás: BME IK ITSec

 

vissza Vissza a kezdőlapra