Zafi je opasan crv koji se širi maskiran kao božićna čestitka. Kako je posve sigurno da će biti korisnika koji će naivno kliknuti na privitak, ne smijete si dozvoliti da vas situacija zatekne.

Na zaraženim računalima Zafi briše .EXE datoteke, zaustavlja Symantecov firewall, te vlastitim SMTP kodom šalje kopije samoga sebe na adrese iz adresara. Onesposobit će Task Manager i Regedit, kako bi spriječio da se vide njegovi procesi, te onemogućio da se iz Registryja izbrišu njegovi dodaci. U %Windows% direktorij ubaciti će .EXE i .DLL datoteke s imenima od nasumično generiranih znakova. Sve to otežava uklanjanje tog neugodnog crva.

Dobra je preventiva ako na svom računalu napravite kopije Task Managera i Regedita s izmijenjenim imenima tako da ih se može pokrenuti kad zatreba. Treba li još jednom naglasiti kako je korisno imati i read only kopiju ispravnog registryja?

Još jedan način širenja koji Zafi koristi je smještanje kopije u dijeljene direktorije (share), tako da ga je moguće pokupiti i pomoću P2P softvera.

Osim svega toga, Zafi pokušava otvoriti backdoor, najčešće na portu 8181. Taj bi port trebalo zatvoriti na firewallu, dok se Zafi ne počisti.

Ako želite brzo provjeriti imate li u svojoj lokalnoj mreži zaražena računala, u tu svrhu možete iskoristiti nmap, koji je instaliran na vašim linux serverima.

# nmap -p 8181 161.53.xxx.0/24 | less

Interesting ports on 161.53.xxx.xxx:
PORT     STATE    SERVICE
8181/tcp filtered unknown

Interesting ports on 161.53.xxx.xxx:
PORT     STATE  SERVICE
8181/tcp closed unknown

Ovakve poruke ohrabruju, zabrinite se tek ako negdje nađete "STATE open".

Detaljne informacije naći ćete na Sophosovom siteu. Kako je Zafi doživio mnoštvo mutacija, upute nisu na jednom mjestu, nego ćete nakon što u tražilici utipkate riječ Zafi mrati snaći u mnoštvu linkova.
Praktičnu karticu s relevantnim informacijama o Zafiju može se pronaći ovdje:
http://techrepublic.com.com/i/tr/downloads/netadmin/resource_doc/Zafi_Erkez_chart.pdf