W32/Zafi.d@MM


SERVICIO ASISTENCIA TECNICA INFORMATICA
www.satinfo.es		Anterior

Gusano de Propagación Media que propaga como postal de Navidad

Nombre de virus: W32/Zafi.d@MM
Alias conocidos: Email-Worm.Win32.Zafi.d, Nocard.A@mm
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y peer-to-peer.
Activación: Por ejecución manual de fichero
Detección: desde DATS 4414
Motor necesario: desde 4.3.20
Infección actual: Media (Inicial, Media, Elevada)

Esta nueva variante de virus w32/Zafi, presenta las siguientes características:

contiene su propio motor SMTP para generar mensajes salientes

falsea la dirección From: (remitente)

recopila direcciones email destino del equipo infectado

el cuerpo del mensaje de email saliente se envía en diferentes idiomas

detiene programas de seguridad

Propagación por correo electrónico

Las direcciones de email se recopilan de las siguientes extensiones de fichero:

htm

wab

txt

dbx

tbb

asp

php

sht

adb

mbx

eml

pmr

fpt

inb

Las direcciones de email recopiladas se almacenan en cinco ficheros, dentro de la carpeta system32, utilizando nombres aleatorios y la extensión de fichero .DLL. Por ejemplo :

c:\WINDOWS\SYSTEM\ckolieqt.dll

c:\WINDOWS\SYSTEM\fktnxowp.dll

c:\WINDOWS\SYSTEM\gczomkgr.dll

c:\WINDOWS\SYSTEM\hgtmrsvo.dll

El gusano evita enviarse a ciertas direcciones de email, que contengan cualquiera de las siguientes cadenas:

yaho

google

win

use

info

help

admi

webm

micro

msn

hotm

suppor

syman

viru

trend

secur

panda

cafee

sopho

kasper

El cuerpo del mensaje enviado por el gusano se presenta en forma de postal de felicitación de Navidad. Al igual que sus variantes previas, el gusano se envía en diferentes idiomas, en función del dominio de nivel superior (Top Level Domain -TLD-) de la dirección destino. Por ejemplo, un usuario con una dirección de correo .COM, recibirá un cuerpo de mensaje en inglés, mientras que uno con dirección de correo .DE, recibirá el cuerpo de mensaje en alemán.

A continuación reproducimos un ejemplo de mensaje enviado por este gusano. El gráfico y el formato del mensaje en otros idiomas es el mismo.

Propagación P2P

El gusano se copia a directorios de la unidad C: que contengan una de las siguientes cadenas:

share

upload

music

Se copia utilizando los siguientes nombres:

winamp 5.7 new!.exe

ICQ 2005a new!.exe

Payload

En un intento de impedir la identificación manual y limpieza de un equipo infectado, el gusano intentará inutilizar los procesos, que contengan las siguientes cadenas:

reged

msconfig

task

El gusano también intentará detener servicios de seguridad tales como firewalls y software antivirus.

Instalación del gusano

Visualiza un falso mensaje de error al ejecutar el gusano

Image54.gif (10236 bytes)

El gusano genera los siguientes ficheros en la carpeta %windir%\system32 :

C:\WINNT\system32\ .EXE - 11.745 bytes

C:\WINNT\system32\

C:\WINNT\system32\Norton Update.exe - 11.745 bytes

C:\WINNT\system32\ .DLL - (gusano empaquetado en zip)

C:\s.cm - 20,552 bytes (módulo winzip dll)

Crea una clave de registro, para que el fichero se ejecute cada vez que inicie el equipo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run "Wxp4" = C:\WINDOWS\SYSTEM32\Norton Update.exe

Crea la siguiente clave de registro para almacenar información del gusano:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

Detección y eliminación

El gusano se controla desde los DAT 4414 , para su eliminación se recomienda ejecutar nuestra utilidad ELIZAFIA.

SATINFO, VIRUSCAN SPAIN SERVICE 14 de Diciembre de 2004