De siste dagene har en ny variant av Zafi-ormen, Zafi.D, også kalt Erkez.D, klatret opp på Telenors løpende virusstatistikk, fra fem prosent andel den siste uken til 14 prosent andel for det siste døgnet.
Sikkerhetsselskapet Symantecs nordiske avdeling har sendt ut en advarsel om at trusselen fra Zafi.D oppgraderes til nivå 3, altså forholdsvis høyt.
Analysen av Zafi.D er foreløpig ufullstendig. Den klassifiseres som en orm, og den sender seg som vedlegg til e-post. Den infiserende meldingen inneholder en eller annen julehilsen i emnefeltet, og følger opp med en utdypning eller julegrafikk i meldingsfeltet. Meldinger er registrert på flere språk. Bildet ovenfor er et eksempel på grafikk fra ormen. Smitte krever at man klikker på et vedlegg som kan innta ulike formater.
Man vet ellers at den åpner en bakdør på offerets PC, fanger opp e-postadresser fra ulike kilder, og sprer seg selv videre. Man vet ikke hvem som er tiltenkt offerrollen hvis bakdøren skulle brukes i et tjenestenektangrep, man vet ikke om ormen sletter eller endrer lokale filer, eller om den fanger opp personlig informasjon.
Det som er klart er at ormen avslutter sikkerhetsrelaterte prosesser på PC-en, ved å avslutte kjøring av exe-filer hentet fra mapper med strenger som syman, viru, trend, secur, panda, cafee, sopho og kasper. Det innebærer blant annet at alle populære brannmurer og antivirusløsninger avsluttes.
Følger man anbefalte regler for håndtering av e-post, og ikke klikker på vedlegg i e-post fra ukjent opphav eller som ikke svarer til det man kunne vente fra opphavet – avsenderadresser i virus og ormer er som regel forfalsket – burde risikoen for smitte være minimal.
Ellers viser Telenors statistikk at en annen orm, Sober.i som ble oppdaget 19. november, plutselig spres i Norge i langt større omfang enn tidligere. De siste 24 timene står Sober.i for 66 prosent av all Telenors virusfangst, mot en gjennomsnittlig andel på 26 prosent de siste sju dagene. Sober.i har ikke spesielle skadevirkninger utenom selve videreforsendelsen som kan risikere å overlesse nettsegmenter med trafikk.
Les også:
- [30.12.2004] Mer enn 100.000 ulike datavirus
- [20.12.2004] Hotmail bytter antivirus
- [15.12.2004] Enda tre juleormer
- [01.12.2004] Nytt forsøk varsler ranende mobilsmitte
- [26.11.2004] Skal rydde opp i virusnavnkaoset
- [22.11.2004] Orm-infiserte annonser på kjent IT-nettsted