Der Wurm W32/Zafi.D-mm, ein Abkömmling der Zafi-Virenfamilie, geht in Windows-Rechnern um. Er tarnt sich als internationaler Weihnachtsgruß und fällt insofern in der Menge der Gruß-Mails zu Weihnachten wenig auf. In die E-Mail ist eine animierte Grafik eingebaut. Sie zeigt zwei Smiley-Gesichter.
Doch er ist gefährlich: Wie Antivirenspezialisten, darunter McAffee, F-Secure, Sophos und Message Labs - warnen, enthält W32/Zafi.D eine eigene SMTP-Engine zum Massenversand. Er kann sich aber auch via P2P-Applikationen verbreiten.
Das von Hand zu startende Attachement tarnt sich über den Dateinamen als Weihnachtsgruß (giftcard, wishcard, xmascard etc.), die Dateiendungen - ".cmd", ".bat" und ".com" - müssten Angemailte auf jeden Fall warnen.
Einmal gestartet erscheint eine Fehlermeldung ("Error in packed file"). Diese stellt eine Täuschung dar: Der Wurm versucht bereits, Firewall und Antivirus-Anwendungen auszuschalten. MessageLabs warnt, dass auch der Task-Manager, der Registry-Editor und Msconfig nicht aufgerufen werden können.
Zafi.D verfügt zudem über eine Remote-Access-Komponente, die über den TCP-Port 8181 Remote-Angreifer erlaubt, auf dem an-gegriffenen Rechner Dateien zu laden und auszuführen.
Die Antivirenhersteller haben ihre Signaturen bereits auf den neuesten Stand gebracht. (wl)