Zafi.D est un virus qui se propage par courriel et via les
logiciels P2P. Il se présente sous la forme d'un message
dont le titre et le corps sont aléatoires, accompagné
d'un fichier joint en .BAT, .CMD, .COM, .PIF ou .ZIP (12 Ko).
Rédigé en français ou dans une autre langue
fonction du destinataire, il tente de se faire passer pour une
carte de Noël virtuelle. Si le fichier est exécuté,
le virus s'envoie aux adresses présentes dans le carnet
d'adresses Windows et divers autres fichiers, tente de désactiver
certains logiciels de sécurité, installe une porte
dérobée puis se copie dans les dossiers partagés.
PREVENTION :
Les utilisateurs concernés doivent mettre à
jour leur antivirus. D'une manière générale,
même si son nom est intrigant ou attrayant il ne faut pas
exécuter un fichier douteux sans avoir fait confirmer son
envoi par l'expéditeur présumé du message puis
l'avoir analysé avec au moins un antivirus à jour.
DESINFECTION :
Avant de commencer la désinfection, il est impératif
de s'assurer avoir appliqué les mesures préventives
ci-dessus pour éviter la réinfection de l'ordinateur.
Les utilisateurs
ne disposant pas d'un antivirus peuvent utiliser gratuitement
l'utilitaire
de désinfection FxErkez pour supprimer Zafi.D.
|
|
TYPE :
Ver
SYSTEME(S) CONCERNE(S) :
Windows XP
Windows 2000
Windows Me
Windows 98
Windows 95
Windows 2003
Windows NT
ALIAS :
Win32.Zafi.D (Computer Associates)
Zafi.D (F-Secure)
I-Worm.Zafi.d (Kaspersky)
W32/Zafi.d@MM (McAfee)
Nocard.A@mm (Norman)
W32/Zafi.D.worm (Panda Software)
W32/Zafi-D (Sophos)
W32.Erkez.D@mm (Symantec)
WORM_ZAFI.D (Trend Micro)
TAILLE :
11.745 octets
DECOUVERTE :
14/12/2004
DESCRIPTION DETAILLEE :
Le virus Zafi.D est une variante du virus Zafi.B.
Il se présente sous la forme d'un message dont le titre
et le corps sont variables, rédigé dans une
langue personnalisée en fonction de l'extension du
nom de domaine de l'adresse électronique du destinataire
(français, anglais, espagnol, italien, russe, suédois,
etc.), en tentant de se faire passer pour une carte de Noël
virtuelle. Quelques titres de message :
- Joyeux Noel!
- Re: Joyeux Noel!
- Fw: Joyeux Noel!
- Merry Christmas!
- Fw: Merry Christmas!
Le corps du message est également variable, plus ou
moins personnalisé, mais incite toujours à ouvrir
le fichier joint. Un exemple :
* Joyeux....
....Noel! *
:) [nom de l'expéditeur]
_________________________________________________________
http://[domaine]/link.ecarte.christmas.index.jpg0520
- Picture Size: 11 KB, Mail: +OK |
Le fichier joint possède un nom aléatoire avec
une extension en .BAT, .CMD, .COM, .PIF ou .ZIP. Quelques
noms possibles :
- ecarte.index.gif5457.zip
- link.ecarte.htm8543.cmd
- link.ecarte.christmas.index.jpg0520.zip
- link.ecarte.index.gif7731.pif
Si ce fichier est exécuté, le virus se copie
dans le répertoire System sous le nom Norton Update.exe
ainsi que d'autres noms aléatoires, se copie dans les
répertoires contenant les mots "share", "upload"
ou ""music" (souvent liés à des logiciels
de peer-to-peer) sous les noms winamp 5.7 new!.exe ou ICQ
2005a new!.exe, modifie la base de registres afin d'être
exécuté à chaque démarrage de
l'ordinateur, affiche un faux message d'erreur pour faire
diversion ("CRC: 04F7Bh Error in packed file!"), ouvre une
porte dérobée (port TCP 8181), recherche puis
tente de désactiver certains logiciels de sécurité
ainsi que certains utilitaires de Windows comme le Gestionnaire
des tâches ou l'Editeur du Registre pour rendre plus
difficle une désinfection manuelle, puis il s'envoie
automatiquement aux contacts dont les adresses figurent dans
le carnet d'adresses Windows ainsi que les fichiers .ADB,
.ASP, .DBX, .EML, .FPT, .HTM, .INB, .MBX, .PHP, .PMR, .SHT,
.TBB et .TXT présents sur le disque, en utilisant une
adresse d'expéditeur fausse ou usurpée.
INFORMATIONS COMPLEMENTAIRES :
-> Abonnement gratuit à la lettre Secuser Alerte pour être prévenu
de l'apparition des nouveaux hoax et virus
-> Identifier
les fausses alertes virus avec Hoaxkiller.fr
-> FAQ
: des dizaines de messages infectés envahissent ma boîte aux
lettres. Mon ordinateur est-il contaminé? Comment arrêter
ça?
-> FAQ
: une alerte m'indique qu'un virus a été trouvé dans un message
que j'ai envoyé. Mon ordinateur est-il infecté?
-> FAQ : comment
désinfecter le répertoire C:\RESTORE?
-> FAQ
: que faire dans le cas d'un fichier "uncleanable"
(non nettoyable)?
-> FAQ
: comment supprimer un fichier en cours d'utilisation?
-> FAQ
: qu'est-ce que le partage de fichiers et comment y mettre
fin?
-> Dossier
Secuser.com sur les virus
|