SERVICIO ASISTENCIA TECNICA INFORMATICA
|
|
|
|
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
| www.satinfo.es | |||
Gusano de Internet de PROPAGACIÓN MEDIA que se propaga por correo electrónico y sistemas P2P
Nombre de virus: W32/Zafi.b@MM
Alias conocidos: W32.Erkez.B@mm, Win32.Hazafi.30720
Riesgo Infección: Medio
(Bajo, Medio, Alto, Muy Alto)
Propagación: Por correo electrónico y P2P.
Activación: Por
ejecución de fichero .PIF o .EXE
Detección: desde
DATS 4366
Motor necesario: desde 4.2.60
Infección actual: Media (Inicial, Media, Elevada)
W32/Zafi.b es un gusano mass mail que construye los mensajes salientes utilizando su propio motor SMTP, incluyendo una dirección remitente (From) falsa. También intenta propagar via P2P, haciendo una copia de sí mismo a carpetas del sistema local (que contengan 'share' o 'upload' en el nombre de la carpeta)
Propagación por correo electrónico
El gusano construye mensajes utilizando su propio motor SMTP, falseando la dirección remitente.
Busca direcciones de correo electrónico en el disco duro local, recopilando direcciones de ficheros con las siguientes extensiones:
- htm
- wab
- txt
- dbx
- tbb
- asp
- php
- sht
- adb
- mbx
- eml
- pmr
Las direcciones de email recopiladas se almacenan en cinco ficheros, dentro de la carpeta system32, utilizando nombres aleatorios, y con extensión .DLL
Ejemplo:
C:\WINNT\system32\kenbdplk.dll
C:\WINNT\system32\zibscdes.dll
C:\WINNT\system32\qfafsxoz.dll
C:\WINNT\system32\zhzukrhp.dll
C:\WINNT\system32\sdxsuwxt.dll
Las referencias a estos ficheros se almacenan dentro de la siguiente llave, que también es creada por el gusano:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb
El gusano evita enviarse a ciertas direcciones de correo, que contegan cualquiera de las siguientes cadenas:
- admi
- cafee
- help
- hotm
- info
- kasper
- micro
- msn
- panda
- sopho
- suppor
- syma
- trend
- use
- vir
- webm
- win
- yaho
El gusano se envía en diferentes idiomas. A continuación reproducimos algunos formatos. El remitente (From) del mensaje es falso. El nombre del servidor de correo que utiliza lo genera concatenado varias cadenas existentes en el cuerpo del virus. (Ej: fmx1.domain.hu)
Destinatario: anita
Asunto: Ingyen SMS!
Fichero Adjunto: "regiszt.php?3124freesms.index777.pif"
Mensaje:
------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s
az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s!
Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj
te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se
ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon
tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes
nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu
---------------------------
Destinatario: claudia
Asunto: Importante!
Fichero Adjunto: "link.informacion.phpV23.text.message.pif"
Mensaje:
Informacion importante que debes conocer, -
Destinatario: katya
Asunto: Katya
Fichero Adjunto: "view.link.index.image.phpV23.sexHdg21.pif"
Destinatario: eva
Asunto: E-Kort!
Fichero Adjunto: "link.ekort.index.phpV7ab4.kort.pif"
Mensaje:
Mit hjerte banker for dig!
Destinatario: marica
Asunto: Ecard!
Fichero Adjunto: "link.showcard.index.phpAv23.ritm.pif"
Mensaje:
De cand te-am cunoscut inima mea are un nou ritm!
Destinatario: anna
Asunto: E-vykort!
Fichero Adjunto: "link.vykort.showcard.index.phpBn23.pif"
Mensaje:
Till min Alskade...
Destinatario: erica
Asunto: E-Postkort!
Fichero Adjunto: "link.postkort.showcard.index.phpAe67.pif"
Mensaje:
Vakre roser jeg sammenligner med deg...
Destinatario: katarina
Asunto: E-postikorti!
Fichero Adjunto: "link.postikorti.showcard.index.phpGz42.pif"
Mensaje:
Iloista kesaa!
Destinatario: magdolina
Asunto: Atviruka!
Fichero Adjunto: "link.atviruka.showcard.index.phpGz42.pif"
Mensaje:
Linksmo gimtadieno! ha
Destinatario: beate
Asunto: E-Kartki!
Fichero Adjunto: "link.kartki.showcard.index.phpVg42.pif"
Mensaje:
W Dniu imienin...
Destinatario:
Asunto: Cartoe Virtuais!
Fichero Adjunto: "link.cartoe.viewcard.index.phpYj39.pif"
Mensaje:
Content: Te amo... ,
Destinatario: alice
Asunto: Flashcard fuer Dich!
Fichero Adjunto: "link.flashcard.de.viewcard34.php.2672aB.pif"
Mensaje:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu
koennen, benutze in deinem Browser einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen
wuenscht Ihnen ihr...
Destinatario: eva
Asunto: Er staat een eCard voor u klaar!
Fichero Adjunto: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Mensaje:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser
link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De
redactie taalsite primair onderwijs...
Destinatario: hanka
Asunto: Elektronicka pohlednice!
Fichero Adjunto: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Mensaje:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -
Destinatario: claudine
Asunto: E-carte!
Fichero Adjunto: "link.zdnet.fr.ecarte.index.php34b31.pif"
Mensaje:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante
link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes
virtuelles, vos pages web en 5 minutes, du dialogue en direct...
Destinatario: francesca
Asunto: Ti e stata inviata una Cartolina Virtuale!
Fichero Adjunto: "link.cartoline.it.viewcard.index.4g345a.pif"
Mensaje:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te!
Per vederla devi fare click sul link sottostante:
http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui
nostri server per 2 giorni e poi verra rimossa automaticamente.
Destinatario: jennifer
Asunto: You`ve got 1 VoiceMessage!
Fichero Adjunto: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Mensaje:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can
listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).
Destinatario: anita
Asunto: Tessek mosolyogni!!!
Fichero Adjunto: "meztelen csajok fociznak.flash.jpg.pif"
Mensaje:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:
Destinatario: anita
Asunto: Soxor Csok!
Fichero Adjunto: "anita.image043.jpg.pif"
Mensaje:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m
ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: )l@
Destinatario: jennifer
Asunto: Don`t worry, be happy!
Fichero Adjunto: "www.ecard.com.funny.picture.index.nude.php356.pif"
Mensaje:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:
Destinatario: david
Asunto: Check this out kid!!!
Fichero Adjunto: "jennifer the wild girl xxx07.jpg.pif"
Mensaje:
Send me back bro, when you`ll be done...(if you know what i mean...) See ya,
Propagación por P2P
El gusano se copia a directorios de la unidad C: que contengan una de las siguientes cadenas:
- share
- upload
Se copia con uno de estos nombres:
- Total Commander 7.0 full_install.exe
- winamp 7.0 full_install.exe
Payload de sobrescritura de ficheros
El gusano busca directorios de software antivirus y firewalls, y
sobreescribe los ejecutables que encuentre, por una copia de sí mismo.
Payload de terminación de proceso
En un intento de impedir la identificación y limpieza de un equipo infectado, el
gusano intentará terminar procesos que contengan cualquiera de las siguientes cadenas:
- regedit
- msconfig
- task
Síntomas
Instalación del gusano
Una vez se ejecuta, el gusano se copia dos veces a la carpeta %windir%\system32 utilizando un nombre aleatorio y extensión .EXE y .DLL.
Ejemplo:
C:\WINNT\system32\jrbtgmqi.exe
C:\WINNT\system32\enfrbatm.dll
Crea una clave de registro, para provocar su ejecución cada vez que inicie la máquina:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "_Hazafibb" = %windir%\System32\jrbtgmqi.exe
Otros síntomas incluyen:
- Software seguridad no funciona
- Tráfico de red
- Ralentización del sistema
Detección y eliminación
El gusano se controla desde los DAT
4366 ya disponibles, para su eliminación se
recomienda ejecutar nuestra utilidad ELIZAFIA.
SATINFO, VIRUSCAN SPAIN SERVICE 14 de Junio de 2004
