Вирус Zafi.D распространяется по электронной почте в виде обычного письма, которое содержит поздравления с Рождеством на английском, французском, финском, венгерском, русском и многих других языках.

В зависимости от языка в теме такого сообщения может быть написано: «FW: Merry Christmas», «Joyeux Noel!», «Feliz Navidad!». Про возможные проблемы с кодировкой в сообщениях на русском языке антивирусные компании не сообщают.

В самом письме получатель обнаруживает картинку с двумя желтыми улыбающимися рожицами и произвольную подпись, например Pamela M. К письму прикреплен файл-открытка с расширением pif, cmd, bat или com. Когда пользователь пытается его открыть, появляется сообщение, что произошла ошибка, и вирус начинает распространяться по компьютеру.

Как отмечают в «Лаборатории Касперского», после инсталляции вирус пытается помешать работе некоторых антивирусных программ и устанавливает на зараженном компьютере «бэкдор» (потайной ход), позволяющий загружать и запускать на нем произвольные файлы.

Эксперты финской антивирусной компании F-Secure указывают на интересную особенность Zafi.D — письма с этим вирусом не рассылаются на адрес, содержащие целиком или частично название известных почтовых серверов (yahoo, google, msn, hotm), крупнейших антивирусных компаний (panda, sopho, secur, kasper) и некоторых других слов: win, micro, viru, info, help.

Эксперты британской компании Sophos предполагают, что Zafi.D был написан в Венгрии. По данным этой антивирусной компании, сейчас каждое десятое письмо содержит вирус Zafi.D. 75% запросов о компьютерных инфекциях, поступающих в Sophos, содержат сообщение об этом вирусе.

«Несмотря на искусную маскировку, Zafi.D – совсем не рождественский подарок. Пользователи, которые открывают зараженный файл, запускают вирус и заражают свой компьютер, который после этого становится потенциальной мишенью хакерских атак, — отмечает Грэм Клули, старший консультант Sophos. – Бессовестные хакеры и вирусописатели могут подвергнуть атаке компьютеры в любое время года, поэтому каждый пользователь должен настороженно относиться к необычным сообщениям и не открывать письма от неизвестных ему отправителей».

Sophos советует компаниям не терять бдительность во время каникул. «В бизнес-среде, где часто рассылаются шуточные программы, заставки для экрана и электронные открытки, всегда существует опасность заразиться вирусом, она сильно возрастает перед каникулами».

Опасность заразиться Zafi.D достаточно высока, поэтому эксперты F-Secure и Sophos рекомендуют пользователям воздержаться от электронных поздравлений во время рождественских каникул и поздравлять друг друга традиционным способом – бумажными открытками.