M i c r o a s i s t .

Se disemina nueva versión del virus Zafi en diferentes idiomas - Zafi ataca firewalls y Anti-virus.

Por Karina Saavedra O

Solución

Resumen
Una nueva variante del gusano Zafi se esta diseminando a nivel mundial, este virus húngaro no se había diseminado a gran escala, ya que la versión original del gusano solo utilizaba húngaro como idioma, sin embargo esta nueva versión utiliza ingles, español, italiano y ruso entre otros idiomas,

Descripción Detallada
Zafi.B se disemina en FSG, que es un formato compactado con un tamaño de 12800 bytes.

Infección del sistema
Cuando Zafi.B se inicia se autocopia al directorio de sistema de Windows con un nombre aleatorio con extensión .DLL y .EXE. El archivo con extensión .EXE se añade al registro en la siguiente línea:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = "%SysDir%\<nombre>.exe"

Además se generan diversos archivos en el directorio de sistema con nombres aleatorios y con extensión .DLL, donde el gusano mantiene su información interna.

Zafi.B enumera todos los directorios en el sistema y se copia como 'winamp 7.0 full_install.exe' o 'Total Commander 7.0 full_install.exe'.

Propagación por correo electrónico
Zafi.B busca en la libreta de direcciones de Windows y en otros archivos y trata de obtener direcciones de correo electrónico. Para lo cual busca y verifica archivos con las siguientes extensiones:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr

Usando su propia maquina de SMTP el gusano envía mensajes con anexos infectados en diferentes idiomas.
Abajo encontrará algunos ejemplos del correo que puede llegar:

Remitente: Anita
Asunto: eIngyen SMS!
Anexo: "regiszt.php?3124freesms.index777.pif"

------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
lap kitöltése után azonnal igénybevehet?! B?vebb információt
a www.777sms.hu oldalon találsz, de siess, mert az els? ezer
felhasználó között értékes nyereményeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

Remitente Claudia
Asunto eImportante!
Anexo: "link.informacion.phpV23.text.message.pif"

Información importante que debes conocer, -

Sender: Katya
Subject: oKatya
Attachment: "view.link.index.image.phpV23.sexHdg21.pif"

ADAOIU
OEIE

Sender: .
Subject: eE-Kort!
Attachment: "link.ekort.index.phpV7ab4.kort.pif"

Mit hjerte banker for dig!

Sender: Marica
Subject: eEcard!
Attachment: "link.showcard.index.phpAv23.ritm.pif"

De cand te-am cunoscut inima mea are un nou ritm!

Sender: Anna
Subject: eE-vykort!
Attachment: "link.vykort.showcard.index.phpBn23.pif"

Till min Alskade...

Sender: Erica
Subject: eE-Postkort!
Attachment: "link.postkort.showcard.index.phpAe67.pif"

Vakre roser jeg sammenligner med deg...

Sender: Katarina
Subject: eE-postikorti!
Attachment: "link.postikorti.showcard.index.phpGz42.pif"

Iloista kesaa!

Sender: Magdolina
Subject: eAtviruka!
Attachment: "link.atviruka.showcard.index.phpGz42.pif"

Linksmo gimtadieno!

Sender: Beate
Subject: eE-Kartki!
Attachment: "link.kartki.showcard.index.phpVg42.pif"

W Dniu imienin...

Sender: @
Subject: eCartoe Virtuais!
Attachment: "link.cartoe.viewcard.index.phpYj39.pif"

Te amo...

Sender: Alice
Subject: eFlashcard fuer Dich!
Attachment: "link.flashcard.de.viewcard34.php.2672aB.pif"

Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php
Viel Spass beim Lesen wuenscht Ihnen ihr...

Sender:
Subject: eEr staat een eCard voor u klaar!
Attachment: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"

Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Sender: Hanka
Subject: eElektronicka pohlednice!
Attachment: "link.seznam.cz.pohlednice.index.php2Avf3.pif"

Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz

Sender: Claudine
Subject: eE-carte!
Attachment: "link.zdnet.fr.ecarte.index.php34b31.pif"

vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...

Sender: Francesca
Subject: eTi e stata inviata una Cartolina Virtuale!
Attachment: "link.cartoline.it.viewcard.index.4g345a.pif"

Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.

Sender: Jennifer
Subject: eYou`ve got 1 VoiceMessage!
Attachment: "link.voicemessage.com.listen.index.php1Ab2c.pif"

Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).

Sender: Anita
Subject: eTessek mosolyogni!!!
Attachment: "meztelen csajok fociznak.flash.jpg.pif"

Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:

Sender: Anita
Subject: eSoxor Csok!
Attachment: "anita.image043.jpg.pif"

Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók:

Sender: Jennifer
Subject: eDon`t worry, be happy!
Attachment: "www.ecard.com.funny.picture.index.nude.php356.pif"

Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:

Sender: David
Subject: eCheck this out kid!!!
Attachment: "jennifer the wild girl xxx07.jpg.pif"

Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

El gusano no envía correos a direcciones que contengan alguna de las siguientes cadenas de texto:

win
use
info
help
admi
webm
micro
msn
hotm
suppor
syma
vir
trend
panda
yaho
cafee
sopho
google
kasper

Que hace:
Zafi.B termina cualquier aplicación con nombre de archivo que haga referencia a un firewall o anti-virus

También desactiva algunas herramientas de Windows como el Task Manager y el editor del registro.

Recomendación:
Recuerde mantener su antivirus actualizado, si cuenta con F-Secure la firma para este antivirus fue publicada el 11 de junio del 2004. Asimismo si recibe un correo electrónico en un idioma diferente al esperado bórrelo inmediatamente.