Hara Zafi.D

Crv Win32.Zafi.D@mm najrašireniji je virus u 2. i 3. mjesecu 2005.godine.

Djelovanje crva:

Kada se pokrene inficirana datoteka iz privitka, prikaže lažnu poruku s greškom: "CRC: 04F6Bh" / "Error in packed file!". Na računalu pretražuje adresar i datoteke na disku (s nastavkom HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML, PMR, FPT i INB) i iz njih uzima elektroničke adrese na koje će poslati svoje kopije, no pritom preskače adrese koje u sebi sadrže riječi yaho, google, win, use, info, help, admi, webm, micro, msn, hotm, suppor, syman, viru, trend, secur, panda, cafee, sopho, kasper i adrese koje sadrže 16 ili više brojki.

Zaustavlja procese koji su pokrenuti iz mapa čiji naziv sadrži jednu od sljedećih riječi: syman, viru, trend, secur, panda, cafee, sopho, kasper. Pokušava otvoriti datoteke koje sadrže sljedeće riječi u nazivu, kako bi onemogućio korisnicima da ih pokrenu: reged, msconfig, task.

Kreira sljedeće datoteke:
%WinDir%System32Norton update.exe
%WinDir%System32xxxxxxxx.dll
(datoteke slučajnog naziva od 8 znakova i s nastavkom DLL)

U registry dodaje stavku:
HKLMSoftwareMicrosoftWindowsCurrentVersionRunWxp4
te niz stavki u sekciju:
HKLMSoftwareMicrosoftWxp4*
(neke od stavki: t1, t2, t3, t4, t5, t6, t7, t8, t9, tA, tB, tC, tD, tE, tZ, rB, rC, mA, mB, mC, ... , mX, mY, mZ, lA, lB, lC, ... , lX, lY, lZ )

Kopira infektivnu datoteku pod nazivom "ICQ 2005a new!.exe" ili "winamp 5.7 new!.exe" u mape koje u nazivu sadrže riječi "share", "upload" ili "music".

Simptomatski, Task Manager, Task Monitor i Regedit ne žele se pokrenuti. Za uklanjanje skinite:
Sophos Win32.Zafi removal tool
McAfee Stinger