Nome del virus:Worm/Kafs.A
Scoperto:12/10/2005
Tipo:Worm
In circolazione (ITW):No
Numero delle infezioni segnalate:Basso
Potenziale di propagazione:Medio
Potenziale di danni:Medio-Basso
File statico:Si
Dimensione del file:15.673 Byte
Somma di controllo MD5:DCE647910FF508DA7B48577C218F6050
Versione VDF:6.32.00.65

 Generale Metodo di propagazione:
   • Email


Alias:
   •  Symantec: W32.Erkez.G@mm
   •  Kaspersky: Email-Worm.Win32.Zafi.g
   •  TrendMicro: WORM_ZAFI.F
   •  Bitdefender: Win32.Zafi.F@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Effetti secondari:
   • Utilizza un proprio motore SMTP per l'invio di email
   • Modifica del registro


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alle seguenti posizioni:
   • %SYSDIR%\%stringa di caratteri casuale%.dll
   • %SYSDIR%\AntiVirus Update.exe



Vengono creati i seguenti file:

– File “non maligno”:
   • %SYSDIR%\%stringa di caratteri casuale%.dll

– Un file che contiene gli indirizzi email recuperati:
   • %SYSDIR%\%stringa di caratteri casuale%.dll

– File ad uso temporaneo che possono essere cancellati in seguito:
   • %SYSDIR%\a.wsf
   • %System Root Drive%\m.txt

– %System Root Drive%\z.m Questo è un file di testo “non maligno” che contiene informazioni sul programma stesso.

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
   • %SYSDIR%\AntiVirus Update.exe



Viene aggiunta la seguente chiave di registro:

– [HKLM\SOFTWARE\Microsoft\Zi5]

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
La lingua con cui la mail viene spedita dipende dal dominio di primo livello.


Da:
L’indirizzo del mittente è l'account Outlook dell'utente.


A:
– Indirizzi email trovati in specifici file sul sistema.


Oggetto:
L'oggetto dell'email è costruito estrapolandolo dai seguenti:

    A volte inizia con uno dei seguenti:
   • FW:
   • RE:

    Seguito da uno dei seguenti:
   • msn photo ecard
   • commercial ecard :)
   • witzig reklame :))
   • witzig bild :D
   • legszexibb megasztar foto!
   • szavazz ra te is!
   • broma :))
   • humor :))
   • rolig reklam :))
   • haha - rolig :))
   • grappig beeld :))
   • een grappig reclame :D
   • blague :))
   • humour - reclame :))
   • scherzo :))
   • comico quadro :))
   • humor.ru
   • :D


Corpo dell'email:
– Contiene codice HTML.
Il corpo dell’email è come il seguente:

   • ImageFormat: 640x480
     ImageSize: 16Kb
     Message: you need to see this :))
     From: %Nome utente dell'account email%
     Date: %data corrente%
     AV-Control: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • BildFormat: 640x480
     Bildabmessung: 16Kb
     Botschaft: eine witzig reklame foto :))
     Absender: %Nome utente dell'account email%
     Datum: %data corrente%
     AV-Kontrolle: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • KepFormetum: 640x480
     KepMeret: 16Kb
     Dzenet: itt a kedvenc megaszteros kepem :))
     Feladf=F3: %Nome utente dell'account email%
     Detum: %data corrente%
     AV-Ellenfrzes: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filenev: %stringa di caratteri casuale%.jpg [download]

   • Cuadro/Medida: 16Kb
     Mensaje: Sexo y humor para pasar un buen rato! :))
     Expedidor: %Nome utente dell'account email%
     Data: %data corrente%
     AV-Control: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • Bildform: 640x480
     Bild/Omfattning: 16Kb
     Meddelande: rolig reklam!! :))
     Post: %Nome utente dell'account email%
     Datum: %data corrente%
     AV-Control: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filenamn: %stringa di caratteri casuale%.jpg [download]

   • Beeldformaat: 640x480
     Beeldmaat: 16Kb
     Boodschap: een ontroerend of grappig reclame :))
     Afzender: %Nome utente dell'account email%
     Datum: %data corrente%
     AV-Controle: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filename: %stringa di caratteri casuale%.jpg [download]

   • Image/Mode: 640x480
     Image/Taille: 16Kb
     Message: le sexe d'une femme apres l'amour (humour, reclame) :))
     Expediteur: %Nome utente dell'account email%
     Date: %data corrente%
     AV-Verification: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Filenom: %stringa di caratteri casuale%.jpg [download]

   • Quadro/Forma: 640x480
     Quadro/Proporzioni: 16Kb
     Messaggio: comico reclame!! :))
     Mittente: %Nome utente dell'account email%
     Data: %data corrente%
     AV-Controllare: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     Nomefile: %stringa di caratteri casuale%.jpg [download]

   • открытка с видом: 640 x 480
     по величине: 16 Kb
     послание: :))
     отправитель: %Nome utente dell'account email%
     отображение даты: %data corrente%
     AV-контролер: http://%dominio del destinatario%/%nome file dell'allegato senza estensione%.zip MSN Mail: +++ No Virus
     имя файла: %random chracter string%.jpg [загружаемый]


File allegato:
Il nome del file allegato viene estrapolato dai seguenti:

–  Inizia con uno dei seguenti:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

A volte seguito da uno dei seguenti:
   • reklam
   • megasztar
   • humor
   • reklame
   • reclame
   • humor
   • funny
   • commercial
   • msn
   • messenger
   • photo

    Seguito da uno dei seguenti:
   • foto%molte cifre casuali%
   • imag%molte cifre casuali%
   • pict%molte cifre casuali%
   • dscn%molte cifre casuali%

    L'estensione del file è una delle seguenti:
   • .zip

L'allegato è una copia del file creato: %SYSDIR%\%stringa di caratteri casuale%.dll



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • dbx; asp; txt; htm; mbx; wab; php; sht; adb; tbb; inb; pmr; fpt; eml


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • support; google; win; use; info; help; admi; webm; micro; msn; hotmai;
      suppor; soft; www; service; test; linux; subsc; sales; contact@; -faq;
      secur; nod3; trend; bitde; symant; eset; panda; mcafe; sopho; kasper


Aggiunte alla stringa MX:
Per ottenere l'indirizzo IP del mail server, aggiunge in testa al nome di dominio la seguente stringa:
   • mx.

 Processi terminati  Non permette l'esecuzione di processi che contengono una delle seguenti stringhe nel nome file:
   • reged
   • msconfig
   • task

 Dettagli del file Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG

Descrizione inserita da Andrei Gherman su mercoledì 12 ottobre 2005
Descrizione aggiornata da Andrei Gherman su giovedì 13 ottobre 2005

Indietro . . . .