- 메일로 전파된다.
- 특정파일들이 삭제된다.
- regedit.exe 등 특정파일들이 실행되지 않는다.
자세한 정보는 분석이 완료되는대로 업데이트 할 예정이다.
내용
* 요약
Win32/Zafi.worm.12800 (한글명 "자피")는 다양한 언어의 메일본문으로 가진채 전파되는 웜이다. 웜이 실행되면 윈도우 시스템 폴더에 웜 복사본과 수집된 메일주소로 추정되 파일을 다수 생성한다. 그리고 자신을 레지스트리에 기록하여 이후 부팅시마다 실행되도록 해둔다. 웜은 실행중일때 몇몇의 응용 프로그램의 실행을 못하게하며 윈도우 폴더에 있는 특정한 파일을 삭제하기도 한다. 또한 다양한 확장자의 파일으로부터 메일주소를 수집하여 수집된 메일주소로 다양한 언어로 작성된 웜이 첨부된 메일을 보내기도 한다.
* 확산 정도
안철수연구소는 금일 오전부터 사내 유입되는 다수의 Win32/Zafi.worm.12800를 VBS (Virus Blocking Services) 로 차단하였다. 이로서 국내에 이 웜이 유입된 것으로 확인되었다.
* 메일 전파 형식
웜은 메일제목 및 본문 그리고 첨부파일명에 다양한 언어(텍스트)를 가진채로 보내진다. 보낸이는 Spoofed 되는 경우도 있다. 또한 보낸이와 메일제목과 첨부파일명은 임의의 파일명이 선택될 수도 있다. 첨부파일의 확장자 또한 아래 *.pif 이외도 *.exe, *.com 이 될 수 있다.
------------------------ hirdet=E9s -----------------------------
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s
lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t
a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer
felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
보낸이 :
제목: Er staat een eCard voor u klaar!
첨부파일명: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
메일본문:
Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l"adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...
보낸이 : Francesca
제목 : Ti e stata inviata una Cartolina Virtuale!
첨부파일명 : "link.cartoline.it.viewcard.index.4g345a.pif"
메일본문 :
Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender:
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen!2004, jun, Pecs,(SNAF Team).
이 정보는 2004년 6월 12일 13시 00분에 최초작성 되었으며 2004년 6월 12일 14시 30분에 최종 수정 되었다.
치료방법
* V3Pro 2002 Deluxe / V3Pro 2004 / V3Net for Windows Server 사용자
1. 사용 제품을 실행 후 [업데이트] 버튼이나 업데이트 파일을 통해 최신 엔진 및 패치 파일로 업데이트 한다.
2. 검사할 드라이브를 지정하고 검사를 시작한다.
3. 프로세스에서 실행중인 Win32/Zafi.worm.12800 가 진단되면 안내되는 메시지의 "강제종료후 치료" 선택한다. 종료된 악성코드는 자동 치료(삭제)된다.
4. 프로세스 검사와 지정 드라이브 검사가 끝나면 치료창이 보여진다. 여기서 "전체목록치료" 버튼을 눌러 진단된 악성코드를 치료(삭제)한다.