Gloucester (pte, 15. Dez 2004 11:25) - Der englische Managed-Service-Provider für die E-Mail-Sicherheit MessageLabs http://www.messagelabs.com warnt vor einem "Weihnachts-Wurm". "Zafi.D-mm" ist ein Mass-Mailing-Virus und verbreitet sich via Weihnachtsgruß-Mitteilungen. Der Wurm nutzt seine eigene SMTP-Engine und versendet sich an alle E-Mail-Adressen, die er auf befallenen Rechnern findet. Verbreiten kann sich Zafi jedoch auch via P2P-Applikationen.
Um den Virus zu "starten" muss der Empfänger das Attachement manuell öffnen. Anschließend versucht Zafi alle in Betrieb befindlichen Firewalls und Antivirus-Anwendungen auszuschalten. Windows-Tools wie der Task-Manager und der Registry-Editor können ebenfalls davon betroffen sein. Die verschiedenen Betreffzeilen, die Zafi verwendet, lauten: "boldog karacsony...", "Feliz Navidad!", "Fw: boldog karacsony...", "Fw: Merry Christmas!", "Merry Christmas!". Weiters verfügt der Wurm über eine Remote-Access-Komponente, die auf Inbound-Verbindungen über TCP-Port-8181 wartet. Remote-User können über diese Hintertür Dateien laden und ausführen.
Laut MessageLabs ist das "Von-Feld" der E-Mail "gespooft", der Text der Zafi.D-E-Mail kann in englisch oder vielen anderen Sprachen geschrieben sein. Die ursprüngliche Variante von Zafi "sprach" hingegen nur ungarisch. Beim "IP-Spoofing" wird die Quelladresse eines Pakets modifiziert und gefälscht (gespooft). Das Paket erhält somit eine falsche Identität.
