¿Necesita ayuda? Pregunte a la comunidad o contrate a un experto.
Ir a Avira Answers
Nombre:Worm/Kafs.A
Descubierto:13/12/2012
Tipo:Gusano
En circulación (ITW):No
Número de infecciones comunicadas:Bajo
Potencial de propagación:Medio
Potencial dañino:Medio-bajo
Fichero estático:
Tamaño:15.673 Bytes
Suma de control MD5:DCE647910FF508DA7B48577C218F6050
Versión del VDF:7.11.53.216

 General Método de propagación:
   • Correo electrónico


Alias:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Modificaciones en el registro


Inmediatamente después de su ejecución, muestra la siguiente información:


 Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\AntiVirus Update.exe



Crea los siguientes ficheros:

– Fichero no malicioso:
   • %SYSDIR%\%serie de caracteres aleatorios%.dll

– Un fichero que contiene las direcciones de correo recolectadas:
   • %SYSDIR%\%serie de caracteres aleatorios%.dll

– Ficheros temporales, que pueden ser eliminados después:
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

– %System Root Drive%\z.m Este es un fichero sin código viral y contiene información acerca del programa en sí.

 Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\Zi5]

 Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).


De:
La dirección del remitente es la cuenta de Outlook del usuario.


Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.


Asunto:
El tema del correo se ha creado con lo siguiente:

    A veces empieza con:
   • FW:
   • RE:

    Y luego una de las siguientes:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


El cuerpo del mensaje:
– Contiene código HTML.
El cuerpo del mensaje es el siguiente:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %nombre de usuario de la cuenta de correo%
     Date: %fecha actual%
     AV-Control: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filename: %serie de caracteres aleatorios%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %nombre de usuario de la cuenta de correo%
     Datum: %fecha actual%
     AV-Kontrolle: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filename: %serie de caracteres aleatorios%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %nombre de usuario de la cuenta de correo%
     Detum: %fecha actual%
     AV-Ellenfrzes: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filenev: %serie de caracteres aleatorios%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %nombre de usuario de la cuenta de correo%
     Data: %fecha actual%
     AV-Control: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filename: %serie de caracteres aleatorios%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %nombre de usuario de la cuenta de correo%
     Datum: %fecha actual%
     AV-Control: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filenamn: %serie de caracteres aleatorios%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %nombre de usuario de la cuenta de correo%
     Datum: %fecha actual%
     AV-Controle: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filename: %serie de caracteres aleatorios%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %nombre de usuario de la cuenta de correo%
     Date: %fecha actual%
     AV-Verification: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Filenom: %serie de caracteres aleatorios%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %nombre de usuario de la cuenta de correo%
     Data: %fecha actual%
     AV-Controllare: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     Nomefile: %serie de caracteres aleatorios%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %nombre de usuario de la cuenta de correo%
     отображение даты: %fecha actual%
     AV-контролер: http://%dominio de los destinatarios%/%nombre de archivo adjunto sin extensión%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


Archivo adjunto:
El nombre del fichero adjunto está compuesto de los siguientes elementos:

–  Empieza por uno de los siguientes:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

A veces seguido por una de las siguientes:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

    Seguida por:
   • foto%varios dígitos aleatorios%
   • imag%varios dígitos aleatorios%
   • pict%varios dígitos aleatorios%
   • dscn%varios dígitos aleatorios%

    La extensión del fichero es una de las siguientes:
   • .zip

El archivo adjunto es una copia del fichero creado: %SYSDIR%\%serie de caracteres aleatorios%.dll



El mensaje de correo se ve así:


 Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Prefijar los dominios de las direcciones de correo:
Para obtener la dirección IP del servidor de correo, añade el siguiente prefijo al nombre del dominio:
   • mx.

 Finalización de los procesos  No permiten la ejecución de los procesos cuyos nombres incluyen una de las siguientes series de caracteres:
   • reged
   • msconfig
   • task

 Datos del fichero Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
   • FSG

Descripción insertada por Andrei Gherman el miércoles, 12 de octubre de 2005
Descripción actualizada por Andrei Gherman el jueves, 13 de octubre de 2005

Volver . . . .
https:// Esta ventana está cifrada para su seguridad.