Der englische Managed-Service-Provider für die eMail-Sicherheit MessageLabs warnt vor einem Weihnachts-Wurm. Zafi.D-mm ist ein Mass-Mailing-Virus und verbreitet sich via Weihnachtsgruß-Mitteilungen. Der Wurm nutzt seine eigene SMTP-Engine und versendet sich an alle eMail-Adressen, die er auf befallenen Rechnern findet. Verbreiten kann sich Zafi jedoch auch via P2P-Applikationen.
Um den Virus zu starten muss der Empfänger das Attachement manuell öffnen. Anschließend versucht Zafi alle in Betrieb befindlichen Firewalls und Antivirus-Anwendungen auszuschalten. Windows-Tools wie der Task-Manager und der Registry-Editor können ebenfalls davon betroffen sein. Die verschiedenen Betreffzeilen, die Zafi verwendet, lauten: boldog karacsony..., Feliz Navidad!, Fw: boldog karacsony..., Fw: Merry Christmas!, Merry Christmas!. Weiters verfügt der Wurm über eine Remote-Access-Komponente, die auf Inbound-Verbindungen über TCP-Port-8181 wartet. Remote-User können über diese Hintertür Dateien laden und ausführen.
Laut MessageLabs ist das Von-Feld der eMail gespooft, der Text der Zafi.D-eMail kann in englisch oder vielen anderen Sprachen geschrieben sein. Die ursprüngliche Variante von Zafi sprach hingegen nur ungarisch. Beim IP-Spoofing wird die Quelladresse eines Pakets modifiziert und gefälscht (gespooft). Das Paket erhält somit eine falsche Identität.
