Вируси по Коледа Panda Software обяви Orange alert след появяването на вируса Zafi.D.
Това е червей, който възпрепятства достъпа до приложения, които съдържат текстовите низове reged, msconfig или task. Заразява компютри с операционни системи Windows 2003/XP/2000/NT/ME/98/95.

Червеят, който се появи едва вчера, е най-често откривания вирус по целия свят, и главно в Южна Америка и Европа. Най-заразените страни са Италия, Испания, България и Унгария.

Този червей се разпространява като прикачен файл в email съобщение, съдържащо текста Happy holidays! (Весели празници!). Тъй като коледните празници наближават, потребителите изпращат коледни поздравления по електронна поща, което помага на Zafi.D да се разпространява изключително бързо.

Zafi.D е многоезичен, може да адаптира езика на съобщението в зависимост от домейна на електронния адрес, на който е изпратено. Например в немско говорящите страни, потребителят ще получи съобщение, написано на немски. Това значително увеличава бързината и ефективността на разпространението на червея.

Освен всичко казано дотук, Zafi.D може да бъде използван, за да се получи отдалечен контрол над заразения компютър, тъй като през комуникационен порт, отваря "задна врата на компютъра". Това позволява на атакуващия да се свърже с порта и да получи отдалечен контрол над заразения компютър.

Според статистиката до момента червеят е заразил 44% от компютрите в Литва, 26.67% от машините в Коста Рика, в Италия - 26.13%, а в България и Уругвай пораженията са съответно 22.56 и 20.77 на сто.

Прикаченият файл има следните разширения: BAT, CMD, COM, PIF or ZIP.
Компютърът ще се зарази, когато потребителя стартира прикачения файл.

Zafi.D търси електронни адреси във файлове със следните разширения: ADB, ASP, DBX, EML, FPT, HTM, INB, MBX, PHP, PMR, SHT, TBB, TXT и WAB. Zafi.D изпраща свои копия на всички адреси, които е събрал използвайки собствена SMTP машина. Не се изпраща на адреси, които съдържат някои от следните текстови стрингове: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, secur, sopho, suppor, syman, trend, use, viru, webm, win и yahoo.

При разпрастранение през P2P програми за споделяне на файлове, Zafi.D създава свои копия в онези директории, чиито пълен път съдържа някои от следните текстови стрингове: share, upload и music. Правейки това, Zafi.D прави опити да създава свои копия в споделените директории на програмите, като прави свои копия с файлови имена: ICQ 2005a new!.exe winamp 5.7 new!.exe.

Други потребители на тези програми могат отдалечено да достигат до тези споделени файлове в общите директории и да ги свалят на своите компютри, мислейки си че са полезни програми. Всъщност си изтеглят копие на червея Zafi.D.

Средството за премахване на Zafi.D, Ppqremove може да се намери на www.antivirus.bg.
Експертите съветват потребителите, ако са получили съобщение с описаните характеристики, да не стартират прикачения файл и да го изтрият, включително и от папката Deleted Items.