W32/Zafi-B

Befolgen Sie bitte die Anweisungen zum Entfernen von Würmern.

Windows NT/2000/XP/2003 Unter Windows NT/2000/XP/2003 müssen Sie außerdem den folgenden Registrierungseintrag bearbeiten. Die Entfernung dieses Eintrags ist unter Windows 95/98/Me optional. Lesen Sie bitte die Warnung über das Bearbeiten der Registrierung. Klicken Sie in der Taskleiste auf Start|Ausführen. Geben Sie "Regedit" ein und drücken Sie Enter. Es öffnet sich der Registrierungseditor. Bevor Sie die Registrierung verändern, sollten Sie ein Backup erstellen. Klicken Sie im Menü "Registrierung" auf "Registrierungsdatei exportieren", wählen Sie als Exportbereich "Alles" und speichern Sie Ihre Registrierung als Backup. Suchen Sie unter HKEY_LOCAL_MACHINE den Eintrag: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
_Hazafibb= <Windows-Systemordner>\<dateiname.exe> Löschen Sie den Eintrag, sofern er existiert. Schließen Sie den Registrierungseditor.

W32/Zafi-B ist ein Peer-to-Peer (P2P)- und E-Mail-Wurm, der sich als zufällig benannte EXE-Datei in den Windows-Systemordner kopiert. Außerdem erstellt er den folgenden Registrierungseintrag, so dass er beim Systemneustart aktiviert wird: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
_Hazafibb= <Windows-Systemordner>\<Dateiname.exe> Der folgende Registrierungsteil wird ebenfalls erstellt: HKLM\Software\Microsoft\_Hazafibb\ Dieser Registrierungsteil enthält Wertenamen, die aus zwei alphanumerischen Zeichen bestehen. Dieser Wurm sucht nach dem Vorhandensein einer Internetverbindung, indem er versucht, sich mit www.google.com oder www.microsoft.com zu verbinden. W32/Zafi-B spürt E-Mail-Adressen in Dateien auf, die folgende Erweiterungen haben: HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR. Der Wurm speichert die aufgespürten E-Mail-Adressen in zufällig benannten Dateien mit einer DLL-Erweiterung im Windows-Systemordner. W32/Zafi-B versucht, sich als Attachment an die E-Mails anzuhängen und an die auf dem lokalen Computer gesammelten Adressen zu senden. Der Wurm kopiert sich außerdem in freigegebene P2P-Ordner, entweder als "WINAMP 7.0 FULL_INSTALL.EXE" oder als
"TOTAL COMMANDER 7.0 FULL_INSTALL.EXE". W32/Zafi-B kann ein Meldungsfenster auf dem Bildschirm mit folgendem ungarischen Text anzeigen: A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team). Die englische Übersetzung des Texts lautet: We demand that the government accomodates the homeless,
tightens up the penal code and VOTES FOR THE DEATH PENALTY to
cut down the increasing crime. Jun. 2004, Pécs (SNAF Team) Nachfolgend finden Sie Beispiele für die von W32/Zafi-B versendeten E-Mails. Betreffzeile: Ingyen SMS!
Text:
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess,
mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu --------------------------- Betreffzeile: Importante!
Text: Informacion importante que debes conocer, - Betreffzeile: E-Kort!
Text: Mit hjerte banker for dig! Betreffzeile: Ecard!
Text: De cand te-am cunoscut inima mea are un nou ritm! Betreffzeile: E-vykort!
Text: Till min Alskade... Betreffzeile: E-Postkort!
Text: Vakre roser jeg sammenligner med deg... Betreffzeile: E-postikorti!
Text: Iloista kesaa! Betreffzeile: Atviruka!
Text: Linksmo gimtadieno! Betreffzeile: E-Kartki!
Text: W Dniu imienin... Betreffzeile: Cartoe Virtuais!
Text: Te amo... Betreffzeile: Flashcard fuer Dich!
Text: Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr... Betreffzeile: Er staat een eCard voor u klaar!
Text: Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Hanka Betreffzeile: Elektronicka pohlednice!
Text: Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz Betreffzeile: E-carte!
Text: vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct... Betreffzeile: Ti e stata inviata una Cartolina Virtuale!
Text: Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente. Betreffzeile: You`ve got 1 VoiceMessage!
Text: Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R). Betreffzeile: Tessek mosolyogni!!!
Text: Ha ez a k=E9p sem tud felviditani, akkor feladom!
Sok puszi: Betreffzeile: Soxor Csok!
Szia!
Aranyos vagy, j=F3 volt dumcsizni veled a neten!
Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet
magadr=F3l, addig is cs=F3k: Betreffzeile: Don`t worry, be happy!
Text: Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye: Betreffzeile: Check this out kid!!!
Text: Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,