VirusAlert.nl logo
  17 december 2017 Blog | Virusscanner vergelijken | nieuwsbrieven | alerts | links | faqs | partners | adverteren | contact
Naam (type):
W32.Zafi.b@mm (Internet Worm)
Besturing:
Microsoft Windows
Datum:
14 juni 2004
Risico:
Middel
Bron:
(c) 2004, VirusAlert
Aliassen:
W32/Zafi.b@MM<br /> W32.Erkez.B@mm<br /> Win32.Hazafi.30720 <br /> W32.Safi.b
Eigenschappen:
Zafi.b is een internetworm die zich verspreidt via e-mail. De eigenschappen van het e-mailbericht zijn o.a. Nederlandstalig, en nodigen u uit om een website met daarop een e-card te bekijken. Klikt u de link aan dan wordt het bijlagebestand geopend.

U ontvangt een Nederlandstalige versie van het bericht indien u gebruik maakt van een e-mailadres achter een .NL domein. Werkt u bijv. met hotmail (.com) dan krijgt u automatisch een Engelstalig bericht.

Daarnaast is het ook in staat om zich te verspreiden als gedeeld bestand via de bekende P2P-netwerken als Kazaa. Wij adviseren u ten allen tijde de gedeelde bestanden die u binnenhaalt te scannen met een up-to-date antiviruspakket.

De grootste schade-component is het overschrijven van de programmabestanden van geinstalleerde security-software met een copie van zichzelf. Het wordt geactiveerd door het bijlage- of gedeelde bestand handmatig te openen.


Eigenschappen van het e-mailbericht:

Aan: anita
Onderwerp: Ingyen SMS!
Naam bijlagebestand: "regiszt.php?3124freesms.index777.pif"
Tekst van het bericht:
------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu ---------------------------

Aan: claudia
Onderwerp: Importante!
Naam bijlagebestand: "link.informacion.phpV23.text.message.pif"
Tekst van het bericht:
Informacion importante que debes conocer, -

Aan: katya
Onderwerp: Katya
Naam bijlagebestand: "view.link.index.image.phpV23.sexHdg21.pif"

Aan: eva
Onderwerp: E-Kort!
Naam bijlagebestand: "link.ekort.index.phpV7ab4.kort.pif"
Tekst van het bericht:
Mit hjerte banker for dig!

Aan: marica
Onderwerp: Ecard!
Naam bijlagebestand: "link.showcard.index.phpAv23.ritm.pif"
Tekst van het bericht:
De cand te-am cunoscut inima mea are un nou ritm!

Aan: anna
Onderwerp: E-vykort!
Naam bijlagebestand: "link.vykort.showcard.index.phpBn23.pif"
Tekst van het bericht:
Till min Alskade...

Aan: erica
Onderwerp: E-Postkort!
Naam bijlagebestand: "link.postkort.showcard.index.phpAe67.pif"
Tekst van het bericht:
Vakre roser jeg sammenligner med deg...

Aan: katarina
Onderwerp: E-postikorti!
Naam bijlagebestand: "link.postikorti.showcard.index.phpGz42.pif"
Tekst van het bericht:
Iloista kesaa!

Aan: magdolina
Onderwerp: Atviruka!
Naam bijlagebestand: "link.atviruka.showcard.index.phpGz42.pif"
Tekst van het bericht:
Linksmo gimtadieno! ha

Aan: beate
Onderwerp: E-Kartki!
Naam bijlagebestand: "link.kartki.showcard.index.phpVg42.pif"
Tekst van het bericht:
W Dniu imienin...

Aan:
Onderwerp: Cartoe Virtuais!
Naam bijlagebestand: "link.cartoe.viewcard.index.phpYj39.pif"
Tekst van het bericht:
Content: Te amo... ,

Aan: alice
Onderwerp: Flashcard fuer Dich!
Naam bijlagebestand: "link.flashcard.de.viewcard34.php.2672aB.pif"
Tekst van het bericht:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr...

Aan: eva
Onderwerp: Er staat een eCard voor u klaar!
Naam bijlagebestand: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Tekst van het bericht:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs...

Aan: hanka
Onderwerp: Elektronicka pohlednice!
Naam bijlagebestand: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Tekst van het bericht:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -

Aan: claudine
Onderwerp: E-carte!
Naam bijlagebestand: "link.zdnet.fr.ecarte.index.php34b31.pif"
Tekst van het bericht:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...

Aan: francesca
Onderwerp: Ti e stata inviata una Cartolina Virtuale!
Naam bijlagebestand: "link.cartoline.it.viewcard.index.4g345a.pif"
Tekst van het bericht:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

Aan: jennifer
Onderwerp: You`ve got 1 VoiceMessage!
Naam bijlagebestand: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Tekst van het bericht:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

Aan: anita
Onderwerp: Tessek mosolyogni!!!
Naam bijlagebestand: "meztelen csajok fociznak.flash.jpg.pif"
Tekst van het bericht:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

Aan: anita
Onderwerp: Soxor Csok!
Naam bijlagebestand: "anita.image043.jpg.pif"
Tekst van het bericht:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: )l@

Aan: jennifer
Onderwerp: Don`t worry, be happy!
Naam bijlagebestand: "www.ecard.com.funny.picture.index.nude.php356.pif"
Tekst van het bericht:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:

Aan: david
Onderwerp: Check this out kid!!!
Naam bijlagebestand: "jennifer the wild girl xxx07.jpg.pif"
Tekst van het bericht:
Send me back bro, when you`ll be done...(if you know what i mean...) See ya,


Eigenschappen van p2p-verspreiding:
Indien Kazaa geinstalleerd op het getroffen systeem plaatst het zich onder een aantrekkelijke naamstelling in de standaard gedeelde directory van deze software. De copie van het wormbestand kan 1 van onderstaande namen hebben:

Total Commander 7.0 full_install.exe
winamp 7.0 full_install.exe


© VirusAlert schaal

Innovatie:  9
Besturing:  35
Logistiek:  16
Schade:  19

Schaal:  19/100

Aanduiding: LASTIG



Gratis Nieuwsbrief!

Herkenning van besmetting:
Bestanden

1. Aanwezigheid van verschillende bestanden met een .exe of .dll extensie in de standaard Windows\System directory.
(c:\Windows\System bij Win95/98/Me & c:\Windows\System32 bij Win2000, XP en NT) Let op de wijzigingsdatum van de bestanden, als het gaat om de virusbestanden dan is deze datum gelijk aan de datum van infectie.


Registry
2. Creatie van de registry-sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"_Hazafibb" = [bestand genoemd onder punt 1]"


Verwijder instructies:
Tip
1a. Verwijder het virus met de gratis online scanner van McAfee, klik hier

1c. Indien Windows niet meer naar behoren functioneert. Start uw systeem dan op via een orginele opstartdiskette. Ga vervolgens naar stap 1.

2. Controleer hierna uw systeem op nog aanwezige bestanden en registry-regels voor zover nog aanwezig: verwijder deze handmatig.


Aanpassen van de registry?
Wij adviseren aanpassingen in de registry van Windows alleen te laten uitvoeren door Windows-specialisten.

3.A. - Start de pc op in de veilige modus, maar sluit eerst alle programma's af en sluit de pc af.
Haal vervolgens de stroom eraf en wacht 30 seconden (Dit mag NIET worden overgeslagen!!). Start de pc dan weer op, en door tijdens het opstarten van de pc de CTRL of F8 knop vast te houden (afhankelijk van het besturingssysteem) zal er een menu verschijnen. In dat menu selecteer je dan met behulp van de pijltjestoetsen de optie veilige modus en dan druk je op enter.

De pc zal dan opstarten in de veilige modus. In sommige gevallen kan het gebeuren dat de pc een 'keyboard error' geeft als je de CTRL of F8 knop indrukt, en in dat geval moet je even wachten tot de BIOS geladen is en dan de betreffende toets indrukken. Overigens kan alleen Windows NT niet in de veilige modus worden opgestart. Bij alle andere versies is dit wel mogelijk.

3.B. Klik op start en klik dan via programma's op MSDOS prompt.
Een dos scherm zal nu openen waar je als het goed is c:\windows> ziet staan.
Mocht er achter c:\windows> nog iets staan, type dan cd.. en druk daarna op enter.
-Type daarna "regedit"

Note voor XP-gebruikers
Het is belangrijk dat je de registry opent van de lokale machine, en niet van een individuele user. Daarom even de directorie wijzigen via de instructie cd.. Je komt dan uit in de directorie C:\Windows

3.C. De register editor zal nu openen, en het wordt ten strengste aanbevolen om een kopie van het register te maken VOOR dat je dingen gaat veranderen. Het register is het hart van je pc en als je hier dingen verkeerd in veranderd en/of verwijderd is het mogelijk dat je pc niet goed of zelfs helemaal niet meer werkt. Je kunt een kopie maken door bovenin de register editor op deze computer te klikken en vervolgens op register en dan op registerbestand exporteren.

3.D. - Aanpassen van het register.
Het is de bedoeling dat je dan op zoek gaat naar de volgende sleutel:
- Zie specificatie boven onder "herkenning van besmetting".

- Een registry sleutel verwijst in de "Waarde" altijd naar een bestand, vaak het virusbestand, gebruik de zoekfunctie van het register (CTRL-F) om deze bestanden (en bijbehorende sleutels) op te zoeken.

Als je op de sleutel klikt dan zie je in de rechter helft van je scherm welke waarden daar in zitten. Selecteer net zolang totdat je de juiste sleutel volledig kan zien in het linkerscherm. Klik vervolgens met de rechtermuisknop op de eindwaarde en kies "verwijderen".

3.E. Sluit vervolgens dit venster.

3.F. Sluit de pc af, wacht weer dertig seconden en start de pc dan op de normale manier op.

3.G. Voor nogmaals een volledige scan uit op uw systeem. Of met ge-update AV-software of met de bovengenoemde online scanner.
Link:
Advertentie:

Veilige kortingscodes

Op KortingscodeLab.nl tref je de volgende kortingen en aanbiedingen:

Wilt u ook VirusAlert.nl steunen met een advertentie? Dat kan hier.




Antivirus Pagina Nederland - de startpagina voor virussen, trojans en beveiliging.


Powered by Black Friday Deals .nu

© 2001-2017 VirusAlert.nl. Alle rechten voorbehouden. Disclaimer/PrivacyVirusalert is wordt doorontwikkeld door *Online Marketing Bureau - Springstof Marketing & Zoekmachine Marketing Bureau - Dutch Consultants
RSS