Zafi.D: Wurm wünscht Merry Christmas

Sicherheitsexperte MessageLabs hat eigenen Angaben zufolge bislang 25.000 Exemplare abgefangen. Das erste bereits am 13. Dezember. Antivirenspezilaist Sophos vermutet den Ursprung des Schädlings in Ungarn. Zumindest war die ursprüngliche Version in ungarischer Sprache gehalten. Der Absender der Mails ist gefälscht, das Betreff-Feld lautet auf "Merry Christmas" und ähnliche Grußformeln, darunter auch spanische und französische.

W32/Zafi.D bringt eine eigene SMTP-Engine zum Massenversand mit, kann sich nach Erkenntnissen von MessageLabs aber auch via P2P-Applikationen verbreiten.

Das Attachement tarnt sich nur über den Dateinamen als Weihnachtsgruß (giftcard, wishcard, xmascard etc.), die Dateiendungen dagegen - ".cmd", ".bat" und ".com" - sollten den Benutzer stutzig machen.

Obwohl der Empfänger das Attachement manuell starten muss, scheint Zafi im Vorweihnachtstrubel auf viele arglose Benutzer zu treffen. "Gefälschte Weihnachtsgrüße wie dieser tauchen alle Jahre wieder auf", kommentieren Antivirenexperten von F-Secure die Weihnachtsmasche.

Einmal gestartet erscheint laut Sophos zur weiteren Tarnung eine Fehlermeldung ("Error in packed file"), währenddessen versucht der Wurm, Firewall und Antivirus-Anwendungen auszuschalten. Tools wie der Task-Manager und der Registry-Editor können ebenfalls in ihrer Funktion gestört sein, berichtet MessageLabs.

Zafi.D verfügt über eine Remote-Access-Komponente, die auf Verbindungen über TCP-Port 8181 wartet. Remote-Angreifer können über diese Hintertür Dateien laden und ausführen. Die Antivirenhersteller haben ihre Signaturen überwiegend bereits auf den neuesten Stand gebracht. (uba)

Das tecCHANNEL-Compact "PC, Netz & WLAN professionell absichern", das Sie online für 9,90 Euro bestellen können, widmet sich explizit dem Thema Client-Security und erläutert, wie man das Angriffsrisiko und die möglichen Folgen minimieren kann.