Bulletin d'alerte K-OTik Security Survey : W32/Zafi-B

Il vérifie la présence d’une connexion Internet en essayant de se connecter sur les sites Web ou www.microsoft.com. W32/Zafi-B recueille des adresses de messagerie sur les fichiers portant les extensions : HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML et PMR. Puis conserve ces adresses collectées dans des fichiers DLL nommés aléatoirement dans le dossier système de Windows.

W32/Zafi-B tente de s’inclure en tant que pièce jointe dans les courriels envoyés aux adresses recueillies, il se présente avec plusieurs langues : français, anglais, italien, espagnol, russe ou suédois. Il cherche ensuite des répertoires ayant pour nom "share" ou "upload" puis se copie dans ces dossiers (P2P) partagés soit sous le nom de fichier 'WINAMP 7.0 FULL_INSTALL.EXE' soit 'TOTAL COMMANDER 7.0 FULL_INSTALL.EXE'.

Ce qui signifie en français : "Nous exigeons que le gouvernement fournisse des logements aux sans-abri, qu’il durcisse le code pénal et qu’il VOTE EN FAVEUR DE LA PEINE DE MORT afin de faire tomber la hausse de la criminalité. Juin. 2004, Pécs (SNAF Team)"

-> Télécharger l'outil de désinfection Anti-Zafi

Changelog :
14 Juin 2004 : Version Initiale
15 Juin 2004 : Outil de désinfection

----------------------------------------------------------------------------------------------------------
Liste des messages/mails contenant le ver Zafi.B :

A: Claudia
Sujet: Importante!
Fichier Joint: "link.informacion.phpV23.text.message.pif"
Message:
Informacion importante que debes conocer, -

A: Katya
Sujet: oKatya
Fichier Joint: "view.link.index.image.phpV23.sexHdg21.pif"

A: Eva
Sujet: E-Kort!
Fichier Joint: "link.ekort.index.phpV7ab4.kort.pif"
Message: Mit hjerte banker for dig!

A: Marica
Sujet: Ecard!
Fichier Joint: "link.showcard.index.phpAv23.ritm.pif"
Message:
De cand te-am cunoscut inima mea are un nou ritm!

A: Anna
Sujet: E-vykort!
Fichier Joint: "link.vykort.showcard.index.phpBn23.pif"
Message: Till min Alskade...

A: Erica
Sujet: E-Postkort!
Fichier Joint: "link.postkort.showcard.index.phpAe67.pif"
Message: Vakre roser jeg sammenligner med deg...

A: Katarina
Sujet: E-postikorti!
Fichier Joint: "link.postikorti.showcard.index.phpGz42.pif"
Message: Iloista kesaa!

A: Magdolina
Sujet: Atviruka!
Fichier Joint: "link.atviruka.showcard.index.phpGz42.pif"
Message: Linksmo gimtadieno! ha

A: Beate
Sujet: E-Kartki!
Fichier Joint: "link.kartki.showcard.index.phpVg42.pif"
Message: W Dniu imienin...

A: Eva
Sujet: Cartoe Virtuais!
Fichier Joint: "link.cartoe.viewcard.index.phpYj39.pif"
Message: Content: Te amo... ,

A: Alice
Sujet: Flashcard fuer Dich!
Fichier Joint: "link.flashcard.de.viewcard34.php.2672aB.pif"
Message:
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://***.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...

A: Eva
Sujet: Er staat een eCard voor u klaar!
Fichier Joint: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Message:
Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://****.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...

A: Hanka
Sujet: Elektronicka pohlednice!
Fichier Joint: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Message:
Ahoj!
Elektronick pohlednice ze serveru http://www.****.cz -

A: Claudine
Sujet: E-carte!
Fichier Joint: "link.zdnet.fr.ecarte.index.php34b31.pif"
Message:
vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://***.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...


A: Francesca
Sujet: Ti e stata inviata una Cartolina Virtuale!
Fichier Joint: "link.cartoline.it.viewcard.index.4g345a.pif"
Message:
Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://****.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.


A: Jennifer
Sujet: You`ve got 1 VoiceMessage!
Fichier Joint: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Message:
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.****.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).

A: Anita
Sujet: Tessek mosolyogni!!!
Fichier Joint: "meztelen csajok fociznak.flash.jpg.pif"
Message:
Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi:

A: Anita
Sujet: Soxor Csok!
Fichier Joint: "anita.image043.jpg.pif"
Message:
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k:

A: Jennifer
Sujet: Don`t worry, be happy!
Fichier Joint: "www.***.com.funny.picture.index.nude.php356.pif"
Message:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:

A: David
Sujet: Check this out kid!!!
Fichier Joint: "jennifer the wild girl xxx07.jpg.pif"
Message:
Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

----------------------------------------------------------------------------------------------------------