• Sábado 16 de Noviembre de 2024, 09:01

Autor Tema:  Zafi.e  (Leído 1429 veces)

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Zafi.e
« en: Martes 27 de Septiembre de 2005, 18:11 »
0
Peligrosidad: 3 - Media     
Difusión: Baja   Fecha de Alta:26-09-2005
Última Actualización:26-09-2005
Daño: Alto
[Explicación de los criterios]   
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Zafi.E@P2P+MM    
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 15367
Alias:WORM_ZAFI.E (Trend Micro), W32.Erkez.F@mm (Symantec), I.worm.zafi.E@mm (Kaspersky (viruslist.com)), W32/Erkez.F@mm (Sophos), Email-Worm.Win32.Zafi.e (ClamAV), W32/Zafi.E@mm (Otros), W32/Zafi-E (Sophos)
Detalles

Instalación

Cuando se ejecuta muestra el siguiente mensaje:

Descarga copias de sí mismo en la carpeta del sistema de Windows con nombres compuestos de la siguiente forma:

    * {Nombre de Antivirus}-{5 Números aleatorios}.EXE
    * {11 números aleatorios}Z.DLL.

      Donde {Nombre de Antivirus} será uno de los siguientes:

    * Kaspersky
    * McAfee
    * Panda
    * Sophos
    * Symantec
    * Trend

El gusano crea la siguiente entrada en el registgro para iniciarse junto al arranque de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
__ZF5 = "%System%\SYMANTEC_UPDATE-[6 números aleatorios].EXE"

(Nota: %System% representa la carpeta del sistema de Windows. Por defecto será: C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, o C:\Windows\System32 en Windows XP y 2003.)

También crea la siguiente entrada en el registro para recopilar información sobre sus propias actividades:

HKEY_LOCAL_MACHINE\Software\Microsoft\__ZF5

Intenta impedir la ejecución de aquellos procesos que contengan las siguientes cadenas de texto:

    * reged
    * msconfig
    * task

También intentará detener la ejecución de los siguientes procesos si se encuentran activos:

    * nmain.exe
    * Luall.exe
    * nod32.exe
    * gcasDtServ.exe
    * nod32krn.exe
    * nod32kui.exe
    * AVLTMAIN.EXE
    * MRT.exe
    * gcasServ.exe
    * avginet.exe
    * inetupd.exe
    * fpavupdm.exe
    * Updater.exe
    * pcclient.exe
    * F-StopW.exe
    * drwebupw.exe
    * QH32.EXE
    * QHM32.EXE
    * LIVEUP.exe
    * savmain.exe
    * savprogess.exe
    * nod32.exe
    * bdmcon.exe
    * bdlite.exe
    * McUpdate.exe
    * mcmnhdlr.exe
    * VBInstTmp.exe
    * vbcmserv.exe
    * vbcons.exe
    * fspex.exe

El gusano crea un mutex para impedir que se ejecute mas de una instancia de si mismo de forma concurrente:

__ZF5

Propagación P2P

El gusano se propaga dejando copias de sí mismo en las carpetas compartidas de algunos programas P2P:

      Nombres de ficheros:

    * ADOBE ACROBAT 8.0.EXE
    * DIVX PLAYER 7.0.EXE

      Carpetas que contengan las siguientes cadenas:

    * music
    * share
    * startup
    * upload

Propagación por correo

El gusano utiliza su propio motor de envio SMTP para enviar mensajes con las siguientes características:

Remitente: Alguno de los siguientes:

    * Anna Birketveit
    * Beate Kohler
    * Claude Marie Sarden
    * Claudia Enferma
    * Hana Bejlkova
    * Katerina Bersankova
    * Monica Lembar
    * Nagy Melinda
    * Suzanne Bolder
    * Veronica Morrentino

Asunto: alguno de los siguientes:

    * Electronisch Star Wars,E-kaartje
    * e-pohlednice,Elektronickou Star Wars
    * e-postkarte,Star Wars
    * e-udvozlet,megasztar
    * Greeting from neptun.ru,MSN.RU Postcard
    * Has recibido una tarjeta en neptun.mx,e-tarjeta
    * Star Wars Greeting,MSN Postcard
    * Star Wars, e-kort
    * Una Star Wars cartolina per te da regione.it,Cartolina Digitale
    * Une Star Wars carte pour vous,Confidental

Mensaje: Alguno de los siguientes:

    *

udvozlolap
Kedves Felhaszn=E1l=F3
elektronikus =FCdv=F6zl=F5lapot k=FCld=F6tt =D6nnek!
Megtekint=E9s=E9hez kattintson a mell=E9kelt k=E9p hivatkoz=E1s=E1ra, vagy m=E1solja be
a b=F6ng=E9sz=F5 (Internet Explorer, Netscape Navigator, Mozilla, stb.) c=EDmsor=E1ba!
@#A m=E1r k=E9zbes=EDtett lapokat 3 h=E9tig =F5rizz=FCk meg!
@http://www.tv2.hu

    *

tarjeta
~=A1Hola
Hay una tarjeta disponible en Neptun.mx de parte de .
Para verla, hacer click en el siguiente enlace:
Te recordamos que si eres Gusuario Premium tu tarjeta estar=E1
disponible
en todo momento durante la vigencia de tu membres=EDa; si no lo eres,
estar=E1 disponible dos semanas a partir de la fecha en que la env=EDes.

    *

postcard
=D0=97=D0=B4=D1=80=D0=B0=D0=B2=D1=81=D1=82=D0=
B2=D1=83=D0=B9=D1=82=D0=B5,=D0=92=D0=B0=D0=BC=
D0=BF=D1=80=D0=B8=D1=88=D0=BB=D0=B0==D0=BE=D1=
82=D0=BA=D1=80=D1=8B=D1=82=D0=BA=D0=B0!=D0=92=
D1=8B =D0=BC=D0=BE=D0=B6=D0=B5=D1=82=D0=B5=
=D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B8=D1=82=D1
=8C =D0=B5=D0=B5 ==D0=BF=D0=BE=D0=B0=D0=B4=D1
=80=D0=B5=D1=81=D1=83@#=D0=9A=D0=BE=D0=B4=D0
=B4=D0=BB=D1=8F==D0=BF=D0=BE=D0=BB=D1=83=D1=87
=D0=B5=D0=BD=D0=B8=D1=8F==D0=BE=D1=82=D0=BA=D1
=80=D1=8B=D1=82=D0=BA=D0=B8=10025412=D0=9E=D1=
82=D0=BA=D1=80=D1=8B=D1=82=D0=BA=D0=B0==D0=BC
=D0=BE=D0=B6=D0=B5=D1=82 =D0=B1=D1=8B=D1=82=D1
=8C==D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B5=D0=BD
=D0=B0==D0=BB=D1=8E=D0=B1=D1=8B=D0=BC==D0=B3=D1
=80=D0=B0=D1=84=D0=B8=D1=87=D0=B5=D1=81=D0=BA=
D0=B8=D0=BC==D0=B1=D1=80=D0=B0=D1=83=D0=B7=D0=
B5=D1=80=D0=BE=D0=BC=D0=B2==D1=82=D0=B5=D1=87=
D0=B5=D0=BD=D0=B8=D0=B5 1==D0=BC=D0=B5=D1=81=
D1=8F=D1=86=D0=B0 =D1=81==D0=BC=D0=BE=D0=BC=D0=
B5=D0=BD=D1=82=D0=B0==D0=BF=D0=BE=D0=BB=D1=83
=D1=87=D0=B5=D0=BD=D0=B8=D1=8F==D1=8D=D1=82=D0
=BE=D0=B3=D0=BE==D1=81=D0=BE=D0=BE=D0=B1=D1=89
=D0=B5=D0=BD=D0=B8=D1=8F.

    *

pohlednic
~Dobr=FD den
Dost=E1v=E1te tento email, proto=9Ee V=E1m ,
poslal(a) elektronickou
star wars
pohlednici. Va=9Ae pohlednice je ulo=9Eena na
serveru centrum.cz a m=F9=9Eete si ji vyzvednout na adrese:
@# Tuto pohlednici budeme archivovat po dobu 30-ti dn=F9. Douf=E1me, =9Ee se V=E1m
bude l=EDbit. :-)
Nejvetsi vyber plakatu na @http://www.{blocked}centrum.cz

    *

Hello
har send eit kort til deg.
Du kan henta kortet ditt p=E5
@# og skriva inn kortnummer 214 og passord 5016.

    *

grusskarte
~Hallo
hat Ihnen eine Star Wars Postkarte geschickt!
Ihre Postkarte wurde am 10.09.2005 versendet und ist f=FCr 10 Tage gespeichert.
Sie k=F6nnen Sie unter folgender URL ansehen:
@#Mit freundlichen Gr=FC=DFen,
Free eCards - Grusskarte senden - send a free eCard
Powered by @http://www.deu{blocked}tschepost.de

    *

galerij
~Hallo
Je hebt een electronisch kaartje ontvangen van
Je kunt je persoonlijke kaartje bekijken door naar het
volgende internet adreste gaan:
We hebben vele 100-en kaartjes in allerlei categori=EBn.
Natuurlijk kan ook jij een kaartje sturen, ga naar
@http://www.fon{blocked}ztv.nl

    *

carte
~Bonjour
a cr=E9e une 'star wars' carte specialement pour vous, et vous l'a envoy=E9e le 10/09/05.
La carte sera sauvgard=E9e pendant 10 jours. Veuillez la recup=E9rer dans les 10 jours
avant qu'elle expire. Cliquer sur ce lien pour voir votre e-carte:
@#Alternativement vous pouvez lui envoyer une autre carte gratuitement sur
@www.smart{blocked}web.fr

    *

~Ciao
ti ha inviato una cartolina digitale dal nostro sito.
Per visualizzare la cartolina =E8 sufficiente cliccare questo link:
@#Nel caso dovessi avere problemi nel visualizzare la tua cartolina, pu=F2
essere che i giorni a disposizione siano scaduti, =E8 comunque possibile
fare una prova a questo indirizzo: @www.reg{blocked}ione.it

    *

greeting
~Hi there
There's a star wars postcard waiting for you, from .
Just click the link below to pick up your personal message:
@#(If you cannot view the image by clicking on the link, copy and paste
the attachment picture into your browser).
Best regards: @http://www.jed{blocked}inet.com

Adjunto: los ficheros adjuntos tendrán nombres variables y alguna de las siguientes extensiones:

    * CMD
    * COM
    * PIF
    * SCR

las direcciones de envío serán recopiladas desde ficheros de los siguietnes tipos:

    * ADB
    * ASP
    * DBX
    * EML
    * FPT
    * HTM
    * INB
    * MBX
    * PHP
    * PMR
    * SHT
    * TBB
    * TXT
    * WAB

Intentará evitar el envío a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:

    * admi
    * google
    * help
    * hotm
    * info
    * micro
    * msn
    * sale
    * service
    * soft.
    * suppor
    * webm
    * zonela
El pasado son solo recuerdos, el futuro son solo sueños