Компьюлента. 20 апреля 2004 года, 14:03
Антивирусная компания Panda Software предупреждает о появлении очередной вредоносной программы. Червь Zafi.A распространяется по электронной почте в виде файлов-вложений с очень длинным именем с расширением .СОМ.
Окно, отображаемое червем Zafi в случае, если системная дата установлена на 1 мая 2004 года
После неосторожного запуска присланного файла пользователем компьютера, червь закрывает процессы, принадлежащие известным ему антивирусным пакетам, и создает две свои копии с расширениями .ЕХЕ и .DLL в директории Windows. Кроме того, вирус записывает собранные ранее адреса электронной почты в пять файлов с произвольными именами и расширениями DLL. Кстати, в процессе рассылки применяется встроенный SMTP-сервер, а в качестве обратного адреса указывается либо аккаунт, установленный в инфицированной системе по умолчанию, либо учетная запись [email protected]. Для обеспечения автоматического запуска при каждой загрузке операционной системы червь Zafi.A вносит ряд изменений в реестр.
Родиной вируса, по всей видимости, является Венгрия. Об этом говорят несколько обстоятельств. Во-первых, тема письма и содержимое написаны на венгерском языке. А во-вторых, если системная дата установлена на 1 мая 2004 года или более позднюю дату, вредоносная программа выводит на экран компьютера сообщение в поддержку венгерских трудящихся (см. рисунок). Размер червя составляет 11776 байт в сжатом виде и примерно 23 кб в распакованном. В коде Zafi.A также имеются процедуры, благодаря которым после 1 мая 2004 года вирус теряет способность к дальнейшему распространению.
