2004.
április 19-én gyors ütemben terjed a Zafi (Kapes) féreg. A vírus képeslapnak álcázza magát, a levélben található link azonban nem működik, a csatolt fájl megnyitásával a vírus aktivizálódik. A vírus Magyarországon szokatlanul gyorsan terjed, ami főként magyar nyelvének köszönhető. "Minden felhasználónak tanácsoljuk, hogy víruskeresőjüket frissítsék, és ismeretlen emaileket ne nyissanak meg, se linkekre, se csatolt fájlokra ne kattintsanak rá" - tanácsolják a felhasználóknak a szakértők.
A levél hamisított feladóval érkezik, és az alábbi szöveget tartalmazza:
Tisztelt felhasználó!
Önnek képeslapja érkezett!
A képeslap feladója: Brigi
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623 cv2
vagy a mellékelt internetlink kattintásával.
Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/
A weblink a levélben valójában hibás, a http után nincs kettőspont, ez feltehetően szándékos, hogy a csatolt mellékletet futtassa a felhasználó. A melléklet neve: "link.matav.hu.viewcard.index42ADR4502HHJeTYWYJDF334GSDEv25546.com", ami egy futtatható állomány. A féreg indítása után véletlenszerű névvel bemásolja magát a windowssystem32 mappába, illetve gondoskodik a fájl automatikus indításáról egy registry bejegyzés segítségével. A kulcs neve véletlenszerűen választott.
HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
A féreg leállítja a Feladatkezelő és a Registry editor alkalmazásokat, ha azok az eredeti nevükkel futnak, átnevezve azonban futtathatóak.
