Pozor! Vánoční pohlednice je vir!

  • 21
Českým internetem se šíří vir Zafi.D, který může být označen i Erkez.D. Má poměrně veliký potenciál, neboť obsahuje část předmětu zprávy i textu v českém jazyce. Nejčastěji se objevuje s předmětem zprávy v podobě Fw: Christmas pohlednice.
Dnes se i českým internetem začal mohutně šířit nový vir s označením Zafi.D či Erkez.D. Jeho nebezpečí pro českou komunitu se skrývá v tom, že jedna z jeho mutací je i v české verzi. Samotný vir se skrývá v příloze, která se tváří jako odkaz na elektronickou vánoční pohlednici.

Jak vir poznáte?

Vzhledem k falšování adresy odesílatele, je první identifikační indicií až text v předmětu zprávy. Ten má v české verzi následující podobu:

Fw: Christmas pohlednice 

Cizojazyčná verze pak může disponovat tímto textem:

  • Re: Merry Chrsitmas!
  • Merry Christmas!
  • boldog karacsony...
  • Feliz Navidad!
  • ecard.ru
  • Christmas Kort!
  • Christmas Vykort!
  • Christmas Postkort!
  • Christmas postikorti!
  • Christmas - Kartki!
  • Weihnachten card.
  • Prettige Kerstdagen!
  • Christmas pohlednice
  • Joyeux Noel!
  • Buon Natale!
  • Samotné tělo zprávy je pak vytvořeno z nápisu

  • *Veselé .... ....Vánoce*
  • *.... ....*
  • ,který je přerušen grafickým prvkem. V další části může uživatel objevit tento znak :) a jméno odesílatele. To je vykradeno z podvrhnuté adresy. Ještě před ním může u některých variant být text Ať Tě rok 2005 baví!

    Pod čarou se pak nachází falešný odkaz zakončený podrobnostmi o souboru pohlednice.

    zpráva s virem Zafi.D

    Nečeské verze obsahují tento text:

  • Happy HollyDays!
    :) [Jméno odesílatele]
  • Kellemes Unnepeket!
    :) [Jméno odesílatele]
  • Feliz Navidad!
    :) [Jméno odesílatele]
  • :) [Jméno odesílatele]
  • Glaedelig Jul!
    :) [Jméno odesílatele]
  • God Jul!
    :) [Jméno odesílatele]
  • God Jul!
    :) [Jméno odesílatele]
  • Iloista Joulua!
    :) [Jméno odesílatele]
  • Naulieji Metai!
    :) [Jméno odesílatele]
  • Wesolych Swiat!
    :) [Jméno odesílatele]
  • Fröhliche Weihnachten!
    :) [Jméno odesílatele]
  • Prettige Kerstdagen!
    :) [Jméno odesílatele]
  • Joyeux Noel!
    :) [Jméno odesílatele]
  • Buon Natale!
    :) [Jméno odesílatele]
  • Přiložený soubor, který se tváří jako odkaz na pohlednici může začínat následujícím textem:

    link.pohlednice.christmas

    případně

    • Link.postcard.christmas 
    • postcard.index card

    Ten je doplněn o několik dalších koncovek zakončených například koncovkou

     .BAT, .COM, .CMD,.HTM, PIF, .ZIP

     

    V případě, že někdo tuto přílohu otevře, zobrazí se mu chybová hláška

    Error in packed file!

    Vir následně ukončí všechny běžící procesy, které mají ve svém názvu některý z těchto textů:

  • reged
  • msconfig
  • task
  • Vedle toho se pokouší najít spouštěcí soubory v adresářích, které obsahují v názvu některý z následujících textů a jejich běh ukončit:

  • syman
  • viru
  • trend
  • secur
  • panda
  • cafee
  • sopho
  • kasper
  • Vedle klasického rozesílání svého těla prostřednictvím e-mailu, se pokouší šířit také přes sdílené adresáře, jenž rozpoznává podle textové řetězce shar, který mohou obsahovat. Do nich se pak nakopíruje pod některým z těchto názvů:

  • winamp 5.7 new!.exe
  • ICQ 2005a new!.exe
  • Dále se pokusí připojit k doméně Microsoft.com a otevře TCP port 8181, kde čeká na případné další příkazy.

    Opatrnost je na místě

    Nezapomeňte si do svého antivirového programu stáhnout aktuální virovou databázi, která by již měla na tento vir reagovat a dbejte zvýšené opatrnosti. Jak bojovat s virovou nákazou se můžete dozvědět z našeho speciálu o virech.