Nume:Worm/Zafi.D
Descoperit pe data de:14/12/2004
Tip:Vierme
ITW:Da
Numar infectii raportate:Mediu
Potential de raspandire:Mediu spre ridicat
Potential de distrugere:Mediu
Fisier static:Da
Marime:11.745 Bytes
MD5:387ea0a6f410281971b3fc53b7777a40
Versiune VDF:6.29.00.15

 General Metoda de raspandire:
   • Email
   • Peer to Peer


Alias:
   •  Symantec: W32/Zafi.d@MM
   •  Mcafee: W32/Zafi.d@MM
   •  Kaspersky: Email-Worm.Win32.Zafi.d
   •  Sophos: W32/Zafi-D
   •  Grisoft: I-Worm/Zafi.D
   •  Bitdefender: Win32.Zafi.D@mm


Sistem de operare:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Imediat dupa lansarea in executie, pe ecran este afisat:


 Fisiere Se copiaza in urmatoarea locatie:
   • %SYSDIR%\Norton Update.exe



Sunt create fisierele:

– Un fisier care contine adrese de e-mail:
   • %SYSDIR%\%aleator%.dll

– C:\s.cm

 Registrii sistemului Urmatoarea cheie este adaugata in registri pentru a rula procesul la repornirea sistemului:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"



Se adauga in registrii sistemului:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="%numele utilizatorului curent%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%combinatie de caractere aleatoare%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

 Email Are un motor SMTP integrat. Va fi facuta o conexiune directa cu serverul destinatar. Iata caracteristicile lui:
Limba in care email-ul este trimis depinde de Top-Level-Domain.


De la:
Adresa este falsificata.


Catre:
– Adrese de email gasite pe sistem.
– Adrese de email obtinute din WAB (Windows Address Book)
– Adrese generate


Subiect:
Unul din urmatoarele:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!



Corpul email-ului:
– Contine cod HTML.


Atasament:
Numele fisierelor atasate este alcatuit dupa cum urmeaza:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    Urmata uneori de una din urmatoarele:
   • christmas
   • index

    Urmat de una din urmatoarele extensii false:
   • gif%sir de 4 caractere aleatoare%
   • jpg%sir de 4 caractere aleatoare%
   • php%sir de 4 caractere aleatoare%

    Extensia fisierului este una din urmatoarele:
   • zip
   • cmd
   • bat
   • pif



Cateva exemple de nume al fisierului atasat:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

Atasamentul este o arhiva ce contine chiar o copie malware.



Email-ul arata astfel:


 Email Cautare adrese:
Cauta adrese de email in urmatoarele fisiere:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Foloseste aceeasi lista de domenii, deja mentionata.

Domeniul este unul din urmatoarele:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es


Adrese evitate:
Nu trimite email-uri la adrese care contin unul din urmatoarele siruri de caractere:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

 P2P  Pentru a infecta alte sisteme din retele Peer-to-Peer, efectueaza urmatarele operatii:  


   Cauta directoarele care au in numele lor unul din urmatoarele texte:
   • share
   • upload
   • music

   Daca reuseste, sunt create urmatoarele fisiere:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Aceste fişiere sunt copii ale malware-ului.

 Terminarea proceselor Procesele care contin urmatoarele siruri de caractere sunt oprite:
   • firewall
   • virus
   • reged
   • msconfig
   • task


 Backdoor Deschide portul
pe portul TCP 8181 pentru a oferi functionalitate de backdoor.

 Alte informatii Mutex:
Creeaza urmatorul mutex:
   • Wxp4

 Detaliile fisierului Limbaj de programare:
 Limbaj de programare folosit: C (compilat cu Microsoft Visual C++).


Compresia fisierului:
Pentru a ingreuna detectia si a reduce marimea fisierului, este folosit urmatorul program de arhivare:
   • FSG 2.0

Die Beschreibung wurde erstellt von Ernest Szocs am Freitag, 26. Oktober 2007
Die Beschreibung wurde geändert von Ernest Szocs am Freitag, 26. Oktober 2007

zurück . . . .