virus Zafi.d

[Marco Trotta <matro at bbs.olografix.org>]

Salve a tutt*,

Kora piccola cooperativa sociale onlus , Martedì, 14 dicembre 2004 ore
17:06:16 +0100
ha scritto a tutt* in "non aprite gli auguri di natale"
 >se vi sono arrivati degli auguri di natale un po' spinti da questo
 >indirizzo scusate. E sopratttutto non aprite l'allegato e cestinate la
 >mail. Si tratta di un virus molto fastidioso che ha colpito il nostro pc e
 >si diffonde via mail indipendentemente dalla nostra volontà.
 >Scusate ancora.
 >Kora piccola cooperativa sociale onlus
 >via Suppa, 28 - 70121 BARI
 >telefax 080 5212393
 >visita il nostro sito: <http://www.koracoop.it>www.koracoop.it

Si sta diffondendo in rete complici i troppi windows installati sulel
macchine (gli unici sistemi operativi attaccati sono quelli di Micorosft)
di seguito le istruzioni.
MT

--Cut-here---------8<------------------8<------------------8<-------------
From: "SalvaPC News" <pilist at deandreis.it>
To: mrta at bfsf.it
Subject: 101 - Cartolina di Natale? Un virus
Date: Tue, 14 Dec 2004 20:04:26 +0100

----------------------------------------------------------------------
SalvaPC News - sicurezza per tutti N. 101 di martedi' 14 dicembre 2004

Supplemento a Punto Informatico
----------------------------------------------------------------------

 UNA NUOVA MINACCIA
 ------------------

Sotto Natale anche quest'anno, come gia' accaduto in anni precedenti, si
presentano nuovi worm che cercano di sfruttare la corrispondenza
elettronica natalizia per indurre gli utenti ad accedere a file che possono
creare non pochi problemi.

In queste ore sta emergendo il nuovo worm Zafi.d (anche chiamato Erkez.D)
che si ritiene di origine ungherese e che preoccupa non poco i centri di
sicurezza antivirus. Zafi.d puo' colpire tutt ele versioni di Windows,
dalla 95 in poi.

 COME RICONOSCERE ZAFI.D
 -----------------------

Il worm si presenta all'utente all'interno di una email che appare come una
cartolina di auguri natalizi ma si diffonde anche attraverso i sistemi di
file sharing peer-to-peer. I paesi europei nei quali fino a questo momento
e' stata segnalata la massima diffusione sono Germania, Spagna e Francia.
SalvaPC ha rilevato diverse infezioni in Italia. Cio' si deve al fatto che
l'email puo' arrivare non solo in inglese, come succede con gran parte dei
worm, ma anche in molte altre lingue, compreso l'italiano.

Riconoscere il nuovo worm non e' facile ma, nella versione italiana, si
presenta con un subject esplicito: "Re: Buon Natale!" oppure "Fw: Buon
Natale!", o anche "Buon Natale!".

Nel testo del messaggio, nella versione italiana, si legge:
"* Buon.... ....Natale! *
:) (NOME UTENTE)"

In allegato si trovano diversi tipi di file che hanno per estensione pif,
.cmd, .bat, .com o .zip ma che in ogni caso nel nome fanno riferimento ad
una cartolina di auguri natalizia, ad esempio
"cartoline.christmas.index.jpg3051.zip".

Il mittente del messaggio ancora una volta non e' il PC infetto quanto
invece uno degli indirizzi trovati da Zafi.d sui computer infettati ed
utilizzati per l'invio delle email infette.

 I DANNI DI ZAFI.D
 -----------------

Trend Micro e F-Secure ritengono Zafi.d piuttosto insidioso. Una volta
avviato il file infetto, il worm si inserisce nel registro di Windows in
modo tale da assicurarsi di essere sempre attivo quando il PC viene
riavviato.
Inoltre copia se stesso con il nome di "winamp 5.7 new!.exe" o "ICQ 2005a
new!.exe" nelle cartelline del PC il cui nome comprenda i termini "share",
"upload" o "music".

Per ottenere gli indirizzi a cui inviare il proprio codice malevolo, Zafi.d
scansiona una quantita' di file diversi sul PC nonche' tutta la rubrica di
Windows, dopodiche' si autospedisce a tutti gli indirizzi trovati.
Sfruttando un proprio motore SMTP, Zafi.d cerca di impedire che l'utente si
accorga dell'invio dei messaggi abusivi.

Per cercare di non essere rilevato dalle societa' di sicurezza antivirus e
dai grandi portali web, Zafi.d non viene inviato ad indirizzi che
contengano tutta una serie di nomi noti, da "hotm" (che sta per Hotmail) a
"kasper" (che sta per Kaspersky Labs).

Non contento, Zafi.d cerca di disattivare tutte le applicazioni antivirus e
di sicurezza attive sul PC infettato. Non solo, installa anche una backdoor
sulla porta 8181 che consente dall'esterno di accedere al PC, cancellare
dati o importarvene di nuovi.

 COME DIFENDERSI
 ---------------

Come sempre in presenza di un worm di questo tipo e' necessario non aprire
l'allegato. In questo caso e' ancora piu' necessario perche' non tutti i
centri antivirus hanno gia' sviluppato un aggiornamento dei propri sistemi
di protezione ed e' dunque necessaria la massima cautela.

Uno scanner antivirus che colpisce Zafi.d e' stato messo a punto da Trend
Micro ed e' disponibile all'indirizzo:
http://it.trendmicro-europe.com/enterprise/products/housecall.php

Qualora si sia individuato Zafi.d sul proprio computer e' necessario
seguire una procedura complessa di rimozione, come descritto ancora da
Trend Micro:
- aprire il file di registro (regedit da "Esegui" del menu' avvio)
- aprire la chiave
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- sulla destra cercare e cancellare le chiavi:
Wxp4 = "SYSTEM\Norton Update.exe" ("SYSTEM" va sostituita con il percorso
della cartella di sistema di Windows ("system" appunto) che varia a seconda
della versione di Windows o delle preferenze dell'utente.
Attenzione pero', modificare il registro senza sapere esattamente cosa si
sta facendo puo' rendere il computer inservibile.

 ULTERIORI INFORMAZIONI
 ----------------------

Per ora sono disponibili le seguenti pagine di approfondimento.
SSR:
http://www.sarc.com/avcenter/venc/data/w32.erkez.d at mm.html
F-Secure:
http://www.f-secure.com/v-descs/zafi_d.shtml
Trend Micro:
http://it.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=WORM_ZAFI.D

----------------------------------------------------------------------
SalvaPC News
supplemento di Punto Informatico (http://punto-informatico.it)

email: redazione at salvapc.com
Url: http://salvapc.com/
----------------------------------------------------------------------

--Cut-here---------8<------------------8<------------------8<-------------