Worm/Zafi.B - Worm

Vea también

Resumen

Descripción completa

Estadísticas

Nombre:	Worm/Zafi.B
Descubierto:	11/06/2004
Tipo:	Gusano
En circulación (ITW):	Sí
Número de infecciones comunicadas:	Alto
Potencial de propagación:	Medio-alto
Potencial dañino:	Medio
Fichero estático:	No
Tamaño:	12.800 Bytes
Versión del VDF:	6.25.00.91

General Métodos de propagación:
   • Correo electrónico
   • Peer to Peer

Alias:
   • Symantec: W32.Erkez.B@mm
   • Mcafee: W32/Zafi.b@MM
   • Kaspersky: Email-Worm.Win32.Zafi.b
   • TrendMicro: PE_ZAFI.B
   • F-Secure: Email-Worm.Win32.Zafi.b
   • Sophos: W32/Zafi-B
   • Panda: W32/Zafi.B.worm
   • Grisoft: I-Worm/Zafi.B
   • VirusBuster: I-Worm.Zafi.B
   • Eset: Win32/Zafi.B
   • Bitdefender: Win32.Zafi.B@mm

Plataformas / Sistemas operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Efectos secundarios:
   • Contiene su propio motor para generar mensajes de correo
   • Reduce las opciones de seguridad
   • Modificaciones en el registro

Ficheros Se copia a sí mismo en las siguientes ubicaciones:
   • %SYSDIR%\%serie de caracteres aleatorios%.exe
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %directorio escogido de forma aleatoria%\%archivo o directorio existente%_update.exe

Sobrescribe los siguientes ficheros.
– %directorio escogido de forma aleatoria%\%archivo o directorio existente%

Extensión del fichero:
   • .exe

Elimina los siguientes ficheros:
   • %WINDIR%\fvprotect.exe
   • %WINDIR%\winlogon.exe
   • %WINDIR%\jammer2nd.exe
   • %WINDIR%\services.exe

Crea los siguientes ficheros:

– Fichero no malicioso:
   • c:\sys.txt

– Ficheros que contienen direcciones de correo recolectadas:
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll
   • %SYSDIR%\%serie de caracteres aleatorios%.dll

Intenta ejecutar el siguiente fichero:

– Ejecuta uno de los ficheros siguientes:
   • %PROGRAM FILES%\Internet Explorer\iexplore.exe
Ejecuta el fichero con los parámetros siguientes: %sitio web visitado%

Registro Añade la siguiente clave del registro para ejecutar el proceso al iniciar el sistema:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• _Hazafibb = %SYSDIR%\%serie de caracteres aleatorios%.exe

Añade la siguiente clave al registro:

– [HKLM\SOFTWARE\Microsoft\_Hazafibb]

Correo electrónico Incluye un motor SMTP integrado para enviar mensajes. Establecerá una conexión con el servidor de destinación. Las características se describen a continuación:
El idioma del mensaje de correo enviado depende del TLD (Dominio de Alto Nivel - Top-Level-Domain).

De:
La dirección del remitente es falsa.

Para:
– Direcciones de correo encontradas en ficheros específicos del sistema.

El diseño de los mensajes de correo:

Asunto: Don`t worry, be happy!
Cuerpo del mensaje:
   • I`m in hurry, but i still love ya...
     (as you can see on the picture)

     Bye - Bye: %el nombre de usuario desde la dirección del remitente%
Adjunto:
   • www.ecard.com.funny.picture.index.nude.php356.pif

Asunto: Check this out kid!!!
Cuerpo del mensaje:
   • Send me back bro, when you`ll be done...(if you know what i mean...)

     See ya, %el nombre de usuario desde la dirección del remitente%

Asunto: You`ve got 1 VoiceMessage!
Cuerpo del mensaje:
   • Dear Customer!

     You`ve got 1 VoiceMessage from voicemessage.com website!
     Sender: %el nombre de usuario desde la dirección del remitente%
     You can listen your Virtual VoiceMessage at the following link:
     http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link.
     Send VoiceMessage! Try our new virtual VoiceMessage Empire!
     Best regards: SNAF.Team (R).
Adjunto:
   • link.voicemessage.com.listen.index.php1Ab2c.pif

Asunto: Flashcard fuer Dich!
Cuerpo del mensaje:
   • Hallo!

     %el nombre de usuario desde la dirección del remitente% hat dir eine elektronische Flashcard geschickt.
     Um die Flashcard ansehen zu koennen, benutze in deinem Browser
     einfach den nun folgenden link:
     http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34

     Viel Spass beim Lesen wuenscht Ihnen ihr...
Adjunto:
   • link.flashcard.de.viewcard34.php.2672aB.pif

Asunto: Ecard!
Cuerpo del mensaje:
   • De cand te-am cunoscut inima mea are un nou ritm!
     %el nombre de usuario desde la dirección del remitente%
Adjunto:
   • link.showcard.index.phpAv23.ritm.pif

Asunto: Ingyen SMS!
Cuerpo del mensaje:
   • ------------------------ hirdetés -----------------------------
     A sikeres 777sms.hu és az axelero.hu támogatásával újra
     indul az ingyenes sms küldõ szolgáltatás! Jelenleg ugyan
     korlátozott számban, napi 20 ingyen smst lehet felhasználni.
     Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
     lap kitöltése után azonnal igénybevehetõ! Bõvebb információt
     a www.777sms.hu oldalon találsz, de siess, mert az elsõ ezer
     felhasználó között értékes nyereményeket sorsolunk ki!
     ------------------------ axelero.hu ---------------------------
Adjunto:
   • regiszt.php?3124freesms.index777.pif

Asunto: Importante!
Cuerpo del mensaje:
   • Informacion importante que debes conocer, -%el nombre de usuario desde la dirección del remitente%
Adjunto:
   • link.informacion.phpV23.text.message.pif

Asunto: E-Kort!
Cuerpo del mensaje:
   • Mit hjerte banker for dig!
Adjunto:
   • link.ekort.index.phpV7ab4.kort.pif

Asunto: E-vykort!
Cuerpo del mensaje:
   • Till min Alskade...
Adjunto:
   • link.vykort.showcard.index.phpBn23.pif

Asunto: E-Postkort!
Cuerpo del mensaje:
   • Vakre roser jeg sammenligner med deg...
Adjunto:
   • ink.postkort.showcard.index.phpAe67.pif

Asunto: E-postikorti!
Cuerpo del mensaje:
   • Iloista kesaa!
Adjunto:
   • link.postikorti.showcard.index.phpGz42.pif

Asunto: Atviruka!
Cuerpo del mensaje:
   • Linksmo gimtadieno!
Adjunto:
   • link.atviruka.showcard.index.phpGz42.pif

Asunto: E-Kartki!
Cuerpo del mensaje:
   • W Dniu imienin...
Adjunto:
   • link.kartki.showcard.index.phpVg42.pif

Asunto: Cartoe Virtuais!
Cuerpo del mensaje:
   • Te amo...
Adjunto:
   • link.cartoe.viewcard.index.phpYj39.pif

Asunto: Er staat een eCard voor u klaar!
Cuerpo del mensaje:
   • Hallo!

     %el nombre de usuario desde la dirección del remitente% heeft u een eCard gestuurd via de website nederlandse
     taal in het basisonderwijs...
     U kunt de kaart ophalen door de volgende url aan te klikken of te
     kopiren in uw browser link:
     http://postkaarten.nl/viewcard.show53.index=04abD1

     Met vriendelijke groet,
     De redactie taalsite primair onderwijs...
Adjunto:
   • postkaarten.nl.link.viewcard.index.phpG4a62.pif

Asunto: Elektronicka pohlednice!
Cuerpo del mensaje:
   • Ahoj!

     Elektronick pohlednice ze serveru http://www.seznam.cz

Adjunto:
   • link.seznam.cz.pohlednice.index.php2Avf3.pif

Asunto: E-carte!
Cuerpo del mensaje:
   • %el nombre de usuario desde la dirección del remitente% vous a envoye une E-carte partir du site zdnet.fr
     Vous la trouverez, l\'adresse suivante link:
     http://zdnet.fr/showcard.index.php34bs42
     www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
     en 5 minutes, du dialogue en direct...
Adjunto:
   • link.zdnet.fr.ecarte.index.php34b31.pif

Asunto: Ti e stata inviata una Cartolina Virtuale!
Cuerpo del mensaje:
   • Ciao!

     %el nombre de usuario desde la dirección del remitente% ha visitato il nostro sito, cartolina.it e ha creato una
     cartolina virtuale per te! Per vederla devi fare click
     sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
     Attenzione, la cartolina sara visibile sui nostri server per
     2 giorni e poi verra rimossa automaticamente.

Asunto: Tessek mosolyogni!!!
Cuerpo del mensaje:
   • Ha ez a kép sem tud felviditani, akkor feladom!

     Sok puszi: %el nombre de usuario desde la dirección del remitente%

Asunto: Soxor Csok!
Cuerpo del mensaje:
   • Szia!

     Aranyos vagy, jó volt dumcsizni veled a neten!
     Remélem tetszem, és szeretném ha te is küldenél képet
     magadról, addig is csók: %el nombre de usuario desde la dirección del remitente%
Adjunto:
   • anita.image043.jpg.pif

El mensaje de correo puede tener una de las siguientes formas:

Envio de mensajes Busca direcciones:
Busca direcciones de correo en los siguientes ficheros:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr

Evita las direcciones:
No envía mensajes de correo a las direcciones que incluyen las siguientes series de caracteres:
   • win; use; info; help; admi; webm; micro; msn; hotm; suppor; syma; vir;
      trend; panda; yaho; cafee; sopho; google; kasper; msn; office; nero;
      icq; game; winra; winzi; divx; movie; total; wina

P2P Para infectar otros sistemas de las redes Peer-to-Peer, realiza las siguientes operaciones:

–   Busca directorios que contengan una de las siguientes subseries de caracteres:
   • share
   • upload

   Al tener éxito, crea los siguientes ficheros:
   • winamp 7.0 full_install.exe
   • Total Commander 7.0 full_install.exe

   Estos ficheros son copias del programa malicioso.

Finalización de los procesos No permiten la ejecución de los procesos cuyos nombres incluyen una de las siguientes series de caracteres:
   • regedit
   • msconfig
   • task

DoS (Denegación de Servicios) Al activarse, inicia ataques DoS en las siguientes destinaciones:
   • www.parlament.hu
   • www.virusbuster.hu
   • www.virushirado.hu
   • www.2f.hu

Informaciones diversas Objeto mutex:
Crea el siguiente objeto mutex:
• _Hazafibb

Datos del fichero Lenguaje de programación:
El programa de malware ha sido escrito en Assembler.

Programa de compresión de ejecutables:
Para agravar la detección y reducir el tamaño del fichero, emplea el siguiente programa de compresión de ejecutables:
• FSG

Para una breve descripción vea el resumen aquí.

Descripción insertada por Andrei Gherman el Thu, 28 Jun 2007 14:54 (GMT+1)
Descripción actualizada por Andrei Gherman el Thu, 28 Jun 2007 17:00 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« volver