“Buon Natale!”. Si presenta così, riempiendo le caselle di posta con auguri simpatici ed amichevoli, il worm natalizio che nelle ultime ore ha già comportato parecchi problemi raggiungendo in breve già la quarta release. Che lo si chiami Erkez.D (nome scelto da Symantec) o Zafi.D, il worm è comunque facilmente riconoscibile da una ironica emoticon, un messaggio di auguri ed un link che invita ad aprire la più classica delle cartoline virtuali.
Nell’allegato c’è il tranello: aprendo il file (di estensione variabile: .pif, .cmd, .bat o .com) scatta l’infezione con il virus che si autoinstalla e si autoinvia moltiplicando il fastidio di caselle mail riempite in poche ore da piccoli allegati ed “amichevoli” auguri di Natale. Il virus ha inoltre una importante peculiarità: in base al dominio del destinatario (.com, .it, .fr, eccetera) il worm distingue la probabile lingua madre del destinatario e traduce il messaggio di auguri in 15 versioni diverse.
L’attrattività del worm è insita nel modo con cui Zafi si presenta sul client di posta: l’uso della lingua madre, l’uso di un’estetica tipica degli auguri di Natale, l’idea dell’emoticon e la presenza di un link che richiama le cartoline virtuali simula nel migliore dei modi un augurio amichevole che abbassa il livello di attenzione dell’utente il quale potrebbe essere attratto da una sprovveduta apertura dell’allegato.
I danni del worm non sono da sottovalutare: Zafi apre una backdoor tramite la quale è in grado di eseguire codice e attuare pericolose installazioni; inoltre il worm inibisce l’uso di firewall ed antivirus, bloccando altresì strumenti quali il Task Manager di Windows o l’editor dei file di registro.