Mindenkit csókol Anita

[VirusBuster] Új változata bukkant fel a vélhetően magyar fejlesztésű, elektronikus képeslapot imitáló Zafi féregvírusnak. A Zafi.B féreg emailek mellékleteként terjed, a levél szövegében különböző nyelveken írott üzenet szerepelhet, amely legtöbb esetben virtuális képeslap megtekintésére szólítja fel a felhasználót, de ingyenes SMS küldő szolgáltatás reklámszövegét is küldheti.

I-Worm.Zafi.B egy emailben és file megosztásokon terjedő féregprogram. A fertőzött levél több nyelven jelenhet meg. A mellékelt fájl melléklet neve -- hasonlóan a Zafi.A variánshoz -- megtévesztő. A magyar nyelvű emailek közös ismertetőjele, hogy egy Anita nevű személy írta alá őket, aki "soXorpuszilja" vagy csókolja az olvasót. A levelek ingyenes SMS-szolgáltatásról szóló információt, "meztelenül focizó csajokat", vagy magáról Anitáról készült képet ajánlanak a gyanútlan felhasználóknak, valójában azonban kártevő programot tartalmaznak.

A Zafi.B futása során véletlenszerű néven .exe és .dll kiterjesztéssel bemásolja magát a rendszermappába, ugyanitt létrehoz még .dll kiterjesztésű fájlokat szintén véletlenszerű neveken, melyek a vírus tevékenységekhez szükségesek. Végignézi a mappákat, és amelyek nevében szerepel a "share" vagy az "upload" string, akkor "winamp 7.0 full_install.exe" vagy "Total Commander 7.0 full_install.exe" néven oda is bemásolja magát. A program bizonyos antivírus és tűzfal termékek futását leállítja, illetve a mappájukban levő programfájlokat lecserélheti saját magára.

A vírus ezután a merevlemezen található fájlokból kinyert email címekre továbbítja magát.