Crea gratis la tua vetrina su Guidasicilia

Acquisti in città

Offerte, affari del giorno, imprese e professionisti, tutti della tua città

Cerca anche in provincia di agrigento caltanissetta catania enna messina palermo ragusa siracusa trapani
vai a Shopping
vai a Magazine
 Cookie

Auguri da... vermi! Si chiama Zafi.d ed è un worm che t'infetta il computer per le feste

Cartoline di Natale via email che nascondono nocivi virus

17 dicembre 2004

Sotto Natale anche quest'anno, come già accaduto in anni precedenti, si presentano nuovi worm che cercano di sfruttare la corrispondenza elettronica natalizia per indurre gli utenti ad accedere a file che possono creare non pochi problemi.
In questi giorni è emerso il nuovo worm Zafi.d (anche chiamato Erkez.D) che si ritiene di origine ungherese e che preoccupa non poco i centri di sicurezza antivirus. Zafi.d può colpire tutt le versioni di Windows, dalla 95 in poi.

Come riconoscere Zafi.d
Il worm si presenta all'utente all'interno di una email che appare come una cartolina di auguri natalizi ma si diffonde anche attraverso i sistemi di file sharing peer-to-peer.
I paesi europei nei quali fino a questo momento è stata segnalata la massima diffusione sono Germania, Spagna e Francia. SalvaPC ha rilevato diverse infezioni in Italia. Ciò si deve al fatto che l'email può arrivare non solo in inglese, come succede con gran parte dei worm, ma anche in molte altre lingue, compreso l'italiano.
Riconoscere il nuovo worm non è facile ma, nella versione italiana, si presenta con un subject esplicito:
"Re: Buon Natale!" oppure "Fw: Buon Natale!", o anche "Buon Natale!".

Nel testo del messaggio, nella versione italiana, si legge:
"* Buon.... ....Natale! *
:) (NOME UTENTE)"

In allegato si trovano diversi tipi di file che hanno per estensione pif, .cmd, .bat, .com o .zip ma che in ogni caso nel nome fanno riferimento ad una cartolina di auguri natalizia, ad esempio "cartoline.christmas.index.jpg3051.zip".
Il mittente del messaggio ancora una volta non è il PC infetto quanto invece uno degli indirizzi trovati da Zafi.d sui computer infettati ed utilizzati per l'invio delle email infette.

I danni di Zafi.d
Trend Micro e F-Secure ritengono Zafi.d piuttosto insidioso. Una volta avviato il file infetto, il worm si inserisce nel registro di Windows in modo tale da assicurarsi di essere sempre attivo quando il PC viene riavviato. Inoltre copia se stesso con il nome di "winamp 5.7 new!.exe" o "ICQ 2005a new!.exe" nelle cartelline del PC il cui nome comprenda i termini "share", "upload" o "music".
Per ottenere gli indirizzi a cui inviare il proprio codice malevolo, Zafi.d scansiona una quantità di file diversi sul PC nonché tutta la rubrica di Windows, dopodiché si autospedisce a tutti gli indirizzi trovati. Sfruttando un proprio motore SMTP, Zafi.d cerca di impedire che l'utente si accorga dell'invio dei messaggi abusivi.
Per cercare di non essere rilevato dalle società di sicurezza antivirus e dai grandi portali web, Zafi.d non viene inviato ad indirizzi che contengano tutta una serie di nomi noti, da "hotm" (che sta per Hotmail) a "kasper" (che sta per Kaspersky Labs).
Non contento, Zafi.d cerca di disattivare tutte le applicazioni antivirus e di sicurezza attive sul PC infettato. Non solo, installa anche una backdoor sulla porta 8181 che consente dall'esterno di accedere al PC, cancellare dati o importarvene di nuovi.

Come difendersi
Come sempre in presenza di un worm di questo tipo è necessario non aprire l'allegato. In questo caso è ancora più necessario perché non tutti i centri antivirus hanno già sviluppato un aggiornamento dei propri sistemi di protezione ed è dunque necessaria la massima cautela.
Uno scanner antivirus che colpisce Zafi.d è stato messo a punto da Trend Micro ed è disponibile all'indirizzo: (clicca qui)

Qualora si sia individuato Zafi.d sul proprio computer è necessario seguire una procedura complessa di rimozione, come descritto ancora da Trend Micro:
- aprire il file di registro (regedit da "Esegui" del menù avvio)
- aprire la chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- sulla destra cercare e cancellare le chiavi:
Wxp4 = "SYSTEMNorton Update.exe" ("SYSTEM" va sostituita con il percorso della cartella di sistema di Windows ("system" appunto) che varia a seconda della versione di Windows o delle preferenze dell'utente.
Attenzione però, modificare il registro senza sapere esattamente cosa si sta facendo può rendere il computer inservibile.

Ulteriori Informazioni
Per ora sono disponibili le seguenti pagine di approfondimento.
SSR
F-Secure
Trend Micro


Fonte: Punto Informatico

Tags:

Condividi, commenta, parla ai tuoi amici.

17 dicembre 2004
Caricamento commenti in corso...
Kosmetika

Kosmetika

Designers - studi
proposto da Il gruppo ARK Project&Management
Grammichele (Catania)
Pallina natalizia in legno colorato personalizzata con fiocco a rilievo BELLINVETRO VR 63

Pallina natalizia in legno colorato personalizzata con fiocco a rilievo BELLINVETRO VR 63

Decorazioni natalizie
proposto da Bellinvetro Oggetti d'Arte di G. Savona
Corleone (Palermo)
4,90 €
Progettazione di arredi gratuita

Progettazione di arredi gratuita

Falegnami
proposto da F.lli Liga s.n.c. di Gaetano Antonio e Maurizio
Casteldaccia (Palermo)
Condensatore BMW SERIE E.36/ Z3

Condensatore BMW SERIE E.36/ Z3

Componenti di condizionatori d'aria per veicoli
proposto da CASA DEL RADIATORE di Pace Crispino, Trapani (TP)
Trapani
Contattologia specialistica

Contattologia specialistica

Medici specialisti - oculistica
proposto da Ottica Caruso
Palermo
Portafoto in legno con teca per impronta Mascagni KIDS

Portafoto in legno con teca per impronta Mascagni KIDS

Cornici
proposto da Monti Regali
Bagheria (Palermo)
20,00 € 25,00 €

Ti potrebbero interessare anche

Visualizza tutte le notizie
Registra la tua azienda su Guidasicilia
Registra la tua azienda su Guidasicilia
Registra la tua azienda su Guidasicilia
Registra la tua azienda su Guidasicilia