Politikai üzenet a magyar vírusban

A "Képeslapja érkezett" tárgysorú e-mail nem az ígért üzenetet, hanem egy új, Windowst futtató PC-ket támadó vírust rejt magában. Az e-mailben található link valójában a csatolt fájlként érkező kártevőt aktiválja, amely kísérletet tesz a számítógép védelmi szoftverének lekapcsolására, valamint e-mailben, az [origo]-ról elérhető Meglep.hu-ról érkező képeslapnak álcázva továbbítja magát a merevlemezről begyűjtött címekre.

A féreg Magyarországon szokatlanul gyorsan terjed, ami főként annak köszönhető, hogy magyar nyelven kommunikál potenciális áldozataival. A Zafi.a az eddigi vírusok közül egyedülálló módon politikai üzenetet is hordoz - számoltak be a vírusvédelmi szoftvereket forgalmazó 2F. Kft szakemberei. A féreg csak április hónapban működőképes, május elsején - Magyarország EU csatlakozásának napján - egy erősen politikai jellegű üzenet - hibaüzenetben történő - megjelenítése után befejezi működését.

A kormányt bírálja a vírus

Az ékezetmentes magyar szöveget tartalmazó "hibaüzenetben" a vírus írója a jelenlegi kormány munkáját bírálja, s többek között azt állítja, hogy az országban több millióan éheznek és élnek szegénységben, miközben a parlamentben dolgozók vagyonokra tesznek szert.

A hétfő délelőtt felbukkant károkozó ellen az ismert vírusvédelmi szoftverek akkor nyújtanak védelmet, ha a felhasználók telepítik hozzájuk az elérhető legfrissebb vírusminta-adatbázist, de az biztos: a Zafi.a nem képes fertőzni, ha nem kattintunk a vírus hordozó üzenetben lévő, hiperlinknek álcázott csatolt fájlra.

A biztonsági cégek terminológiájában a Zafi.a, Kapes vagy Erkez.a nevű vírust hordozó levél tartalma a következő:

Tisztelt felhasználó!

Önnek képeslapja érkezett!
A képeslap feladója: TJSZKI
A lapot az alábbi címen tudja megtekinteni:
http//matav.hu/viewcard/indexpsp4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellékelt internetlink kattintásával.

Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/

A link a levélben hibás, a http után nincs kettőspont, ez feltehetően szándékos, így a kattintással igazából a csatolt mellékletet futtatja a felhasználó. A féreg indítása után véletlenszerű névvel bemásolja magát a windowssystem32 mappába, illetve gondoskodik a fájl automatikus indításáról egy registry bejegyzés segítségével. Megkeresésünkre Gerencsér László, a vírus által hivatkozott Matáv IT-biztonsági központjának vezetője elmondta: a kártevő készítői megtévesztésül használták fel a Matáv nevét, a társaságnak természetesen nincs köze a Zafi.a megjelenéséhez.

(Az [origo]-t kiadó Axelero Internet Rt. tulajdonosa a Matáv Rt.)