Nome del virus:Worm/Zafi.D
Scoperto:14/12/2004
Tipo:Worm
In circolazione (ITW):Si
Numero delle infezioni segnalate:Medio
Potenziale di propagazione:Medio-Alto
Potenziale di danni:Medio
File statico:Si
Dimensione del file:11.745 Byte
Somma di controllo MD5:387ea0a6f410281971b3fc53b7777a40
Versione VDF:6.29.00.15

 Generale Metodo di propagazione:
   • Email
   • Peer to Peer


Alias:
   •  Symantec: W32/Zafi.d@MM
   •  Mcafee: W32/Zafi.d@MM
   •  Kaspersky: Email-Worm.Win32.Zafi.d
   •  Sophos: W32/Zafi-D
   •  Grisoft: I-Worm/Zafi.D
   •  Bitdefender: Win32.Zafi.D@mm


Piattaforme / Sistemi operativi:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003


Giusto dopo l'esecuzione viene visualizzata la seguente informazione:


 File Si copia alla seguente posizione:
   • %SYSDIR%\Norton Update.exe



Vengono creati i seguenti file:

– Un file che contiene gli indirizzi email recuperati:
   • %SYSDIR%\%casuale%.dll

– C:\s.cm

 Registro Viene aggiunta nel registro la seguente chiave con lo scopo di eseguire il processo dopo il riavvio:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"



Viene aggiunta la seguente chiave di registro:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="%nome utente corrente%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%stringa di caratteri casuale%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

 Email Contiene un motore SMTP integrato per inviare le email. Verrà stabilita una connessione diretta con il server di destinazione. Le caratteristiche sono descritte di seguito:
La lingua con cui la mail viene spedita dipende dal dominio di primo livello.


Da:
L'indirizzo del mittente è falso.


A:
– Indirizzi email trovati in specifici file sul sistema.
– Indirizzi email raccolti da WAB (Windows Address Book)
– Indirizzi generati


Oggetto:
Uno dei seguenti:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!



Corpo dell'email:
– Contiene codice HTML.


File allegato:
I nomi dei file allegati vengono estrapolati dai seguenti:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    A volte seguito da uno dei seguenti:
   • christmas
   • index

    Seguito da una delle seguenti estensioni fasulle:
   • gif%stringa casuale di quattro caratteri%
   • jpg%stringa casuale di quattro caratteri%
   • php%stringa casuale di quattro caratteri%

    L'estensione del file è una delle seguenti:
   • zip
   • cmd
   • bat
   • pif



Qui ci sono alcuni esempi di come il nome del file allegato potrebbe presentarsi:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

L'allegato è un archivio che contiene una copia del malware stesso.



L’email si presenta come di seguito:


 Invio di messaggi Cerca indirizzi:
Cerca i seguenti file per gli indirizzi email:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Utilizza la stessa lista di dominio, come sopracitato.

Il dominio è uno dei seguenti:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es


Evita indirizzi:
Non invia email agli indirizzi che contengono una delle seguenti stringhe:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

 P2P Per “infettare” altri sistemi della comunità della rete Peer to Peer, viene eseguita la seguente azione:


   Cerca le directory che contengono una delle seguenti sottostringhe:
   • share
   • upload
   • music

   Se riuscito, i seguenti file vengono creati:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Questi file sono copie del malware stesso.

 Processi terminati I processi che contengono una delle seguenti stringhe vengono terminati:
   • firewall
   • virus
   • reged
   • msconfig
   • task


 Backdoor Viene aperta la seguente porta:
sulla porta TCP 8181 con lo scopo di procurarsi delle possibili backdoor.

 Varie Mutex:
Crea il seguente Mutex:
   • Wxp4

 Dettagli del file Linguaggio di programmazione:
 Il malware è stato scritto in MS Visual C++.


Software di compressione:
Per complicarne l'individuazione e ridurre la dimensione del file, viene compresso con il seguente software di compressione:
   • FSG 2.0

Descrizione inserita da Ernest Szocs su venerdì 26 ottobre 2007
Descrizione aggiornata da Ernest Szocs su venerdì 26 ottobre 2007

Indietro . . . .