Der englische Managed-Service-Provider für die E-Mail-Sicherheit MessageLabs http://www.messagelabs.com warnt vor einem „Weihnachts-Wurm“. „Zafi.D-mm“ ist ein Mass-Mailing-Virus und verbreitet sich via Weihnachtsgruß-Mitteilungen. Der Wurm nutzt seine eigene SMTP-Engine und versendet sich an alle E-Mail-Adressen, die er auf befallenen Rechnern findet. Verbreiten kann sich Zafi jedoch auch via P2P-Applikationen.
Um den Virus zu „starten“ muss der Empfänger das Attachement manuell öffnen. Anschließend versucht Zafi alle in Betrieb befindlichen Firewalls und Antivirus-Anwendungen auszuschalten. Windows-Tools wie der Task-Manager und der Registry-Editor können ebenfalls davon betroffen sein. Die verschiedenen Betreffzeilen, die Zafi verwendet, lauten: „boldog karacsony…“, „Feliz Navidad!“, „Fw: boldog karacsony…“, „Fw: Merry Christmas!“, „Merry Christmas!“. Weiters verfügt der Wurm über eine Remote-Access-Komponente, die auf Inbound-Verbindungen über TCP-Port-8181 wartet. Remote-User können über diese Hintertür Dateien laden und ausführen.
Laut MessageLabs ist das „Von-Feld“ der E-Mail „gespooft“, der Text der Zafi.D-E-Mail kann in englisch oder vielen anderen Sprachen geschrieben sein. Die ursprüngliche Variante von Zafi „sprach“ hingegen nur ungarisch. Beim „IP-Spoofing“ wird die Quelladresse eines Pakets modifiziert und gefälscht (gespooft). Das Paket erhält somit eine falsche Identität.
