Virus : le ver Zafi.D se fait passer pour une carte de Noël

Une fois executé, Zafi.D ouvre une porte dérobéeporte dérobée sur le port 8181 et s'auto-copie dans le répertoire système de Windows sous plusieurs noms aléatoire.DLL et sous "Norton Update.exe". Il ajoute ensuite la clé suivante au registre :

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun

"Wxp4" = x:WINDOWSSYSTEM32Norton Update.exe

Il se copie dans les répertoires dont les noms contiennent "share", "upload" ou "music", sous les noms 'winamp 5.7 new!.exe' ou 'ICQ 2005a new!.exe'.

Zafi.D collecte les adresses emails depuis les fichiers : htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr, fpt et inb. Il s'envoie ensuite en utilisant la langue adaptée au domaine (TLD) associé à l'email cible (.hu, .sp, .ru, .dk, .ro, .se, .no, .fi, .lt, .pl, .pt, .de, .nl, .cz, .fr, .it, .mx, .at, .es) :

Sujets :

Joyeux Noël!
Merry Christmas!
boldog karacsony...
Feliz Navidad!
ecard.ru
Christmas Kort!
Christmas Vykort!
Christmas Postkort!
Christmas postikorti!
Christmas - Kartki!
Weihnachten card.
Prettige Kerstdagen!
Christmas pohlednice
Buon Natale!

Message :

Joyeux Noel!
:) Recipient
Happy HollyDays!
:) Recipient
Kellemes Unnepeket!
:) Recipient
Feliz Navidad!
:) Recipient
:) Recipient
Glaedelig Jul!
:) Recipient
God Jul!
:) Recipient
God Jul!
:) Recipient
Iloista Joulua!
:) Recipient
Naulieji Metai!
:) Recipient
Wesolych Swiat!
:) Recipient
Fröhliche Weihnachten!
:) Recipient
Prettige Kerstdagen!
:) Recipient
Veselé Vánoce!
:) Recipient
Buon Natale!
:) Recipient

Fichier joint

Les fichiers joints ont un nom contenant l'un des mots suivants : "postcard", "link", "christmas" ou "index" avec comme extension : pif, cmd, bat, com ou zip.