McAfee for Small Businesses

・W32/Zafi@MMが実行されると、ランダムな名前と.EXEおよび.DLLの拡張子を使用して、%windir%\system32フォルダに自身を2度コピーします。

・例：

• C:\WINNT\system32\bawtsuoc.exe
• C:\WINNT\system32\ylhefsko.dll

・W32/Zafi@MMは、マシンを起動するたびにファイルを実行するようにレジストリキーを作成します。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run "xqmguqdx" = C:\WINDOWS\System32\bawtsuoc.exe I3

・次に、ローカルのハードディスク上で電子メールアドレスの検索を開始し、収集したアドレスを、ランダムな名前と.DLLのファイル拡張子を使用してsystem32フォルダの5つのファイルに格納します。

・例：

• C:\WINNT\system32\dnszokke.dll
• C:\WINNT\system32\eajgrjic.dll
• C:\WINNT\system32\jgehkgju.dll
• C:\WINNT\system32\vipmcylx.dll
• C:\WINNT\system32\wthrwhbu.dll

・これらのファイルの参照先は、以下のレジストリキーに格納されており、W32/Zafi@MMで作成されます。

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Hazafi

・電子メールの添付ファイルと件名は常に同一です。

送信者：（偽造されたアドレス）
送信先：（収集されたアドレス）
件名： Kepeslap erkezett
本文：

Tisztelt felhaszn疝・ ﾖnnek k駱eslapja 駻kezett! A k駱eslap felad�ja: [spoofed address] A lapot az al畸bi cimen tudja megtekinteni: http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2 vagy a mell駝elt internetlink kattint疽疱al. ﾜdv�zlettel: Matav e-card! http//www.netezz.matav.hu/

英語による翻訳：

Dear Customer! You received a new e-card! Sender: [spoofed address] You can view your e-card at the following address: http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2 or by clicking the attached Internet-link. Best regards: Matav e-card http//www.netezz.matav.hu/

添付ファイル：

• link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com

・W32/Zafi@MMはプロセスリストをモニタし、以下の名前のプログラムを終了します。

• dfw.exe
• fsav32.exe
• fsbwsys.exe
• fsgk32.exe
• fsm32.exe
• fssm32.exe
• fvprotect.exe
• mcagent.exe
• navapw32.exe
• navdx.exe
• navstub.exe
• navw32.exe
• nc2000.exe
• ndd32.exe
• netarmor.exe
• netinfo.exe
• netmon.exe
• nmain.exe
• nprotect.exe
• ntvdm.exe
• ostronet.exe
• outpost.exe
• pccguide.exe
• pcciomon.exe
• regedit.exe
• regedit32.exe
• taskmgr.exe
• tnbutil.exe
• vbcons.exe
• vbsntw.exe
• vbust.exe
• vsmain.exe
• vsmon.exe
• vsstat.exe
• winlogon.exe
• zonalarm.exe