Nueva
versión de Zafi.D se envía como Tarjeta Navideña
Nombre
Zaf.D
Alias W32/Zafi.D@mm; win32.Zafi.D
Origen Hungría
Resumen
Una nueva variante del gusano Zafi.D se esta diseminando en diferentes
idiomas como Ingles, Italiano, español, sueco y ruso. El
gusano aparenta ser una carta de navidad y contiene anexos con
extensión.pif, .cmd, .bat, .com o.zip..
Si el usuario trata de descompactar o ver el archivo anexo puede
aparecer un cuadro de dialogo con el texto "Error in packed
file!"
Infección del sistema
Cuando Zafi.D se inicia, se autocopia al directorio de Windows
System con un nombre aleatorio con extensión DLL y con
el archivo "Norton Update.exe". El archivo .EXE se agrega
al registro de Windows de esta manera:
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Wxp4" = "%System%\Norton Update.exe"
Zafi.D crea un archivo llamado "Wxp4" que verifica que
solo una copia del gusano se este ejecutando. Además de
crear archivos adicionales con nombres aleatorios y extensiones
DLL en donde guarda su información.
Zafi.D enumera todos los directorios en el sistema y se copia
como winamp 5.7 new!.exe' o como 'ICQ 2005a new!.exe' a los que
contengan en su nombre las palabras 'share', 'upload' o 'music'..
Propagación vía correo electrónico
Zafi.D busca en la libreta de direcciones de Windows y en diferentes
archivos y trata de obtener direcciones de correo. Para esto verifica
los archivos con las siguientes extensiones:
htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr
fpt
inb
Usando su propia maquina de SMTP el gusano envía mensajes
con anexos infectados en muchos idiomas, mandando el mensaje en
el idioma que haga referencia al dominio, por ejemplo .sp manda
el idioma en español.
El mensaje enviado es navideño y puede ser:
Sender: Pamela M.
Subject: Merry Christmas!
Happy HollyDays!
:) [Sender]
Puede llegar con cualquiera de estos asuntos:
Sender: T. Maria
Subject: boldog karacsony...
Kellemes Unnepeket!
:) [Sender]
Sender: N. Fernandez
Subject: Feliz Navidad!
Feliz Navidad!
:) [Sender]
Sender: V. Tatyana
Subject: ecard.ru
:) [Sender]
Sender: V. Jensen
Subject: Christmas Kort!
Glaedelig Jul!
:) [Sender]
Sender: J. Andersson
Subject: Christmas Vykort!
God Jul!
:) [Sender]
Sender: M. Emma
Subject: Christmas Postkort!
God Jul!
:) [Sender]
Sender: M. Virtanen
Subject: Christmas postikorti!
Iloista Joulua!
:) [Sender]
Sender: C. Lina
Subject: Christmas Atviruka!
Naulieji Metai!
:) [Sender]
Sender: S. Ewa
Subject: Christmas - Kartki!
Wesolych Swiat!
:) [Sender]
Sender: H. Irene
Subject: Weihnachten card.
Fröhliche Weihnachten!
:) [Sender]
Sender: R. Cornel
Subject: Prettige Kerstdagen!
Prettige Kerstdagen!
:) [Sender]
Asimismo el gusano incluye un anexo visible en los mensajes que
envía, con la finalidad de que el usuario trate de ejecutarlo
o considere como un mensaje navideño real.
El
gusano no envía correo a las direcciones que contengan
alguna de estas cadenas de texto.
yahoo
google
win
use
info
help
admi
webm
micro
msn
hotm
suppor
syman
viru
trend
secur
panda
cafee
sopho
kasper
Payload
Zafi.D termina cualquier aplicación que tenga las palabras
de Firewall o virus en el mismo. Estos archivos están sobrescritos
con una copia del gusano.
Algunas herramientas
como el Editor de Windows o el task Manager se deshabilitan cuando
el gusano Zafi.D esta activo. Zafi.d abre estos archivos con atributos
exclusivos para evitar que algo más los abra.
Zafi.D tiene un backdoor que escucha el puerto 8181. Este gusano
puede subir y ejecutar archivos usando el backdoor que incluye.
F-Secure detecta este gusano con la actualización de firmas
del 13-12-04, recuerda mantener actualizado tu antivirus para
evitar que este tipo de códigos maliciosos lleguen a tu
PC.
