Worm/Zafi.D - Worm

Ver também

Sumário

Descrição completa

Estatísticas

Vírus	Worm/Zafi.D
Data em que surgiu:	14/12/2004
Tipo:	Worm
Incluído na lista "In The Wild"	Sim
Nível de danos:	Médio
Nível de distribuição:	De médio a elevado
Nível de risco:	Médio
Ficheiro estático:	Sim
Tamanho:	11.745 Bytes
MD5 checksum:	387ea0a6f410281971b3fc53b7777a40
Versão VDF:	6.29.00.15

Vulgarmente Meio de transmissão:
   • E-mail
   • Peer to Peer

Alias:
   • Symantec: W32/Zafi.d@MM
   • Mcafee: W32/Zafi.d@MM
   • Kaspersky: Email-Worm.Win32.Zafi.d
   • Sophos: W32/Zafi-D
   • Grisoft: I-Worm/Zafi.D
   • Bitdefender: Win32.Zafi.D@mm

Sistemas Operativos:
   • Windows 95
   • Windows 98
   • Windows 98 SE
   • Windows NT
   • Windows ME
   • Windows 2000
   • Windows XP
   • Windows 2003

Depois de executado é visualizada a seguinte informação:

Ficheiros Autocopia-se para a seguinte localização:
• %SYSDIR%\Norton Update.exe

São criados os seguintes ficheiros:

– Ficheiro que contém uma colecção de endereços de email:
• %SYSDIR%\%aleatório%.dll

– C:\s.cm

Registry (Registo do Windows) É adicionado o seguinte valor ao registo do Windows de forma a que o processo seja executado depois do computador ser reiniciado:

– HKLM\Software\Microsoft\Windows\CurrentVersion\Run
   • "Wxp4" = "%SYSDIR%\Norton Update.exe"

É adicionada a seguinte chave de registo:

– [HKLM\Software\Microsoft\Wxp4]
   • rD=dword:00000101
   • t1="% nome do utilizador actual%"
   • t3="%SYSDIR%\Norton Update.exe"
   • t4="%SYSDIR%\%uma série de caracteres aleatórios%.dll"
   • lA="%PROGRAM FILES%\MSN\MSNCoreFiles"

E-mail Tem um motor SMTP integrado para enviar emails.É criada uma ligação directa com o servidor de destino. Tem as seguintes características:
A linguagem na qual o e-mail é enviado depende do nível do domínio.

De:
O endereço do remetente é falsificado.

Para:
– Endereços de email encontrados em determinados ficheiros no sistema.
– Endereços de e-mail recolhidos do WAB (Windows Address Book).
– Endereços gerados

Assunto:
Um dos seguintes:
   • Christmas - Kartki!
   • Christmas Vykort!
   • Christmas Kort!
   • Christmas Postkort!
   • Christmas postikorti!
   • Christmas Atviruka!
   • Weihnachten card.
   • Prettige Kerstdagen!
   • Christmas pohlednice
   • Fw: ecard.ru
   • Fw: Merry Christmas!
   • Merry Christmas!
   • Re: Merry Christmas!
   • Weihnachten card.
   • Joyeux Noel!
   • Buon Natale!

Corpo:
– Contém código HTML.

Atalho:
Os nomes dos ficheiros de atalhos são construídos a partir dos seguintes:

   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

   • christmas
   • card
   • postcard
   • index
   • kartki
   • link
   • postcard
   • weihnachten
   • vykort
   • postkort
   • postikorti
   • atviruka
   • kerstdagen
   • pohlednice
   • ecarte
   • cartoline
   • navidad

    Por vezes continuado por um dos seguintes:
   • christmas
   • index

    Continua com uma das seguintes extensões falsas:
   • gif%quatro caracteres aleatórios%
   • jpg%quatro caracteres aleatórios%
   • php%quatro caracteres aleatórios%

    A extensão do ficheiro é uma das seguintes:
   • zip
   • cmd
   • bat
   • pif

Exemplos de como o nome do ficheiro de atalho pode parecer:
   • postcard.christmas.jpg7230.cmd
   • vykort.index.jpg8253.zip
   • weihnachten.christmas.php3720.pif

O ficheiro de atalho contém uma cópia do próprio malware.

O email pode ser parecido com o seguinte:

Mailing Pesquisa endereços:
Procura endereços de email nos seguintes ficheiros:
   • htm; wab; txt; dbx; tbb; asp; php; sht; adb; mbx; eml; pmr; fpt; inb
Usa a mesma lista de domínios como mencionado anteriormente.

Tem um dos seguintes domínios:
   • .hu; .sp; .ru; .dk; .ro; .se; .no; .fi; .lt; .pl; .pt; .de; .nl; .cz;
      .fr; .it; .mx; .at; .es

Endereços evitados:
Não envia emails para endereços com os seguintes blocos de texto:
   • yaho; google; win; use; info; help; admi; webm; micro; msn; hotm;
      suppor; syman; viru; trend; secur; panda; cafee; sopho; kasper;

P2P De modo a infectar sistemas na comunidade P2P executa a seguinte acção:

–   Procura directórios com os seguintes textos:
   • share
   • upload
   • music

   Em caso de ser bem sucedido, são criados os seguintes ficheiros:
   • winamp 5.7 new!.exe
   • ICQ 2005a new!.exe

   Os ficheiros são cópias do próprio malware.

Terminar o processo São terminados os processos com um dos seguintes textos:
   • firewall
   • virus
   • reged
   • msconfig
   • task

Backdoor É aberta a seguinte porta:
numa porta TCP 8181 Por forma a fornecer capacidades backdoor.

Informações diversas Mutex:
Cria o seguinte Mutex:
• Wxp4

Detalhes do ficheiro Linguagem de programação:
O programa de malware está escrito em MS Visual C++.

Empacotador de Runtime:
De forma a agravar a detecção e reduzir o tamanho do ficheiro é lançado com o seguinte empacotador de runtime:
• FSG 2.0

Veja aqui uma breve descrição.

Descrição adicionada por Ernest Szocs em Fri, 26 Oct 2007 09:44 (GMT+1)
Descrição adicionada por Ernest Szocs em Fri, 26 Oct 2007 12:39 (GMT+1)

» About Malware
» About Phishing
» Viruses In the Wild

« back