Varian baru dari worm email Zafi telah terlihat menyamar sebagai kartu e-Natal.
Kartu email, bagaimanapun, berisi virus Zafi-D yang disembunyikan dalam file terlampir.
Worm ini juga menawarkan fitur unik lainnya yaitu memeriksa domain negara korbannya dan mengirimkan virus dalam bahasa tersebut. Bakat multibahasanya meluas hingga 15 bahasa yang mencakup sebagian besar Eropa.
Mikko Hypponen, Direktur Riset Anti-Virus dari perusahaan keamanan Finlandia F-Secure, mengatakan bahwa untuk beberapa jam pertama setelah penemuan, laporan infeksi terutama datang dari Eropa. Namun mengingat lampiran pada email perlu diluncurkan secara manual dan sebagian besar dunia tertidur, ini tidak mengherankan. MessageLabs mengklaim telah menghentikan sekitar 25.000 eksemplar sejauh ini.
Meski begitu, virus sebelumnya dengan kemampuan multibahasa, seperti Sober berbahasa Jerman dan Inggris, lebih berhasil di Eropa. 'Di Prancis, misalnya, orang mungkin sudah terbiasa untuk tidak membuka email pendek yang cerewet dengan lampiran dalam bahasa Inggris, tetapi ketika mereka melihat sesuatu dalam bahasa mereka sendiri, mereka cenderung membukanya.'
Virus terlihat seperti fayre standar akhir-akhir ini: email memalsukan alamat pengirim, dan menggunakan teks perayaan pendek seperti itu sebagai 'Merry Christmas!' dan 'Happy Hollydays!', dengan lampiran menggunakan ekstensi file termasuk .pif, .cmd, .bat, atau .com.
Sekali dijalankan, virus menyalin dirinya sendiri secara lokal dan ke dalam folder bersama yang digunakan dalam perangkat lunak peer-to-peer. Itu juga memunculkan kotak dialog dengan pesan 'Kesalahan dalam file yang dikemas!'.
Ini berbeda dari varian worm Zafi sebelumnya karena menginstal backdoor. Hypponen mengatakan bahwa komponen pintu belakang tidak memiliki metode untuk memberi tahu pembuat alamat IP dari mesin yang terinfeksi tetapi ini tidak akan menjadi masalah. Penulis dapat mulai memindai Internet untuk sistem dengan port yang dibuka oleh virus ketika dia siap menggunakannya. Memang utilitas pelaporan seperti itu sebenarnya bisa menjadi kelemahan karena perusahaan antivirus dapat melacak ke mana arah notifikasi.
Perbedaan lainnya adalah bahwa ketika virus mematikan proses yang ditemukan sedang dijalankan oleh perangkat lunak keamanan, seperti halnya banyak virus lainnya, ia juga menimpa file yang terkait dengannya. Ini berarti bahwa ketika sistem di-boot ulang, alih-alih perangkat lunak antivirus dan firewall yang memulai, salinan virus akan melakukannya.
Zafi-B adalah virus paling produktif selama berbulan-bulan antara Juni dan September. Isinya di dalam kode pesan politik yang menyerukan hukuman mati di Hungaria. Zafi-C berisi pesan yang mendesak Perdana Menteri Hungaria untuk menjaga Hungaria keluar dari UE. Ini gagal karena Hongaria sekarang menjadi anggota, dan Zafi-D tampaknya tidak membawa pesan apa pun. Namun, Hypponen mengatakan firasatnya adalah bahwa jenis terbaru ini berasal dari tangan yang sama.
F-Secure saat ini menawarkan perlindungan terhadap Zafi-D. Pengguna harus memastikan perangkat lunak antivirus mereka mutakhir untuk menghindari infeksi.
