SoloCodigo
Informática en general => Seguridad y Criptografía => Virus => Mensaje iniciado por: RadicalEd en Martes 27 de Septiembre de 2005, 18:11
-
Peligrosidad: 3 - Media
Difusión: Baja Fecha de Alta:26-09-2005
Última Actualización:26-09-2005
Daño: Alto
[Explicación de los criterios]
Dispersibilidad: Alto
Nombre completo: Worm-Backdoor.W32/Zafi.E@P2P+MM
Tipo: [Worm-Backdoor] - 'Malware' con capacidades de gusano y de puerta trasera
Plataforma: [W32] - Ejecutable PE (.EXE, .SCR, .DLL) que corre en Windows de 32 bits: 95, 98, Me, NT, 2000, XP, 2003
Mecanismo principal de difusión: [P2P+MM] - Se propaga por redes P2P y correo electrónico.
Tamaño (bytes): 15367
Alias:WORM_ZAFI.E (Trend Micro), W32.Erkez.F@mm (Symantec), I.worm.zafi.E@mm (Kaspersky (viruslist.com)), W32/Erkez.F@mm (Sophos), Email-Worm.Win32.Zafi.e (ClamAV), W32/Zafi.E@mm (Otros), W32/Zafi-E (Sophos)
Detalles
Instalación
Cuando se ejecuta muestra el siguiente mensaje:
Descarga copias de sí mismo en la carpeta del sistema de Windows con nombres compuestos de la siguiente forma:
* {Nombre de Antivirus}-{5 Números aleatorios}.EXE
* {11 números aleatorios}Z.DLL.
Donde {Nombre de Antivirus} será uno de los siguientes:
* Kaspersky
* McAfee
* Panda
* Sophos
* Symantec
* Trend
El gusano crea la siguiente entrada en el registgro para iniciarse junto al arranque de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
__ZF5 = "%System%\SYMANTEC_UPDATE-[6 números aleatorios].EXE"
(Nota: %System% representa la carpeta del sistema de Windows. Por defecto será: C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, o C:\Windows\System32 en Windows XP y 2003.)
También crea la siguiente entrada en el registro para recopilar información sobre sus propias actividades:
HKEY_LOCAL_MACHINE\Software\Microsoft\__ZF5
Intenta impedir la ejecución de aquellos procesos que contengan las siguientes cadenas de texto:
* reged
* msconfig
* task
También intentará detener la ejecución de los siguientes procesos si se encuentran activos:
* nmain.exe
* Luall.exe
* nod32.exe
* gcasDtServ.exe
* nod32krn.exe
* nod32kui.exe
* AVLTMAIN.EXE
* MRT.exe
* gcasServ.exe
* avginet.exe
* inetupd.exe
* fpavupdm.exe
* Updater.exe
* pcclient.exe
* F-StopW.exe
* drwebupw.exe
* QH32.EXE
* QHM32.EXE
* LIVEUP.exe
* savmain.exe
* savprogess.exe
* nod32.exe
* bdmcon.exe
* bdlite.exe
* McUpdate.exe
* mcmnhdlr.exe
* VBInstTmp.exe
* vbcmserv.exe
* vbcons.exe
* fspex.exe
El gusano crea un mutex para impedir que se ejecute mas de una instancia de si mismo de forma concurrente:
__ZF5
Propagación P2P
El gusano se propaga dejando copias de sí mismo en las carpetas compartidas de algunos programas P2P:
Nombres de ficheros:
* ADOBE ACROBAT 8.0.EXE
* DIVX PLAYER 7.0.EXE
Carpetas que contengan las siguientes cadenas:
* music
* share
* startup
* upload
Propagación por correo
El gusano utiliza su propio motor de envio SMTP para enviar mensajes con las siguientes características:
Remitente: Alguno de los siguientes:
* Anna Birketveit
* Beate Kohler
* Claude Marie Sarden
* Claudia Enferma
* Hana Bejlkova
* Katerina Bersankova
* Monica Lembar
* Nagy Melinda
* Suzanne Bolder
* Veronica Morrentino
Asunto: alguno de los siguientes:
* Electronisch Star Wars,E-kaartje
* e-pohlednice,Elektronickou Star Wars
* e-postkarte,Star Wars
* e-udvozlet,megasztar
* Greeting from neptun.ru,MSN.RU Postcard
* Has recibido una tarjeta en neptun.mx,e-tarjeta
* Star Wars Greeting,MSN Postcard
* Star Wars, e-kort
* Una Star Wars cartolina per te da regione.it,Cartolina Digitale
* Une Star Wars carte pour vous,Confidental
Mensaje: Alguno de los siguientes:
*
udvozlolap
Kedves Felhaszn=E1l=F3
elektronikus =FCdv=F6zl=F5lapot k=FCld=F6tt =D6nnek!
Megtekint=E9s=E9hez kattintson a mell=E9kelt k=E9p hivatkoz=E1s=E1ra, vagy m=E1solja be
a b=F6ng=E9sz=F5 (Internet Explorer, Netscape Navigator, Mozilla, stb.) c=EDmsor=E1ba!
@#A m=E1r k=E9zbes=EDtett lapokat 3 h=E9tig =F5rizz=FCk meg!
@http://www.tv2.hu
*
tarjeta
~=A1Hola
Hay una tarjeta disponible en Neptun.mx de parte de .
Para verla, hacer click en el siguiente enlace:
Te recordamos que si eres Gusuario Premium tu tarjeta estar=E1
disponible
en todo momento durante la vigencia de tu membres=EDa; si no lo eres,
estar=E1 disponible dos semanas a partir de la fecha en que la env=EDes.
*
postcard
=D0=97=D0=B4=D1=80=D0=B0=D0=B2=D1=81=D1=82=D0=
B2=D1=83=D0=B9=D1=82=D0=B5,=D0=92=D0=B0=D0=BC=
D0=BF=D1=80=D0=B8=D1=88=D0=BB=D0=B0==D0=BE=D1=
82=D0=BA=D1=80=D1=8B=D1=82=D0=BA=D0=B0!=D0=92=
D1=8B =D0=BC=D0=BE=D0=B6=D0=B5=D1=82=D0=B5=
=D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B8=D1=82=D1
=8C =D0=B5=D0=B5 ==D0=BF=D0=BE=D0=B0=D0=B4=D1
=80=D0=B5=D1=81=D1=83@#=D0=9A=D0=BE=D0=B4=D0
=B4=D0=BB=D1=8F==D0=BF=D0=BE=D0=BB=D1=83=D1=87
=D0=B5=D0=BD=D0=B8=D1=8F==D0=BE=D1=82=D0=BA=D1
=80=D1=8B=D1=82=D0=BA=D0=B8=10025412=D0=9E=D1=
82=D0=BA=D1=80=D1=8B=D1=82=D0=BA=D0=B0==D0=BC
=D0=BE=D0=B6=D0=B5=D1=82 =D0=B1=D1=8B=D1=82=D1
=8C==D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B5=D0=BD
=D0=B0==D0=BB=D1=8E=D0=B1=D1=8B=D0=BC==D0=B3=D1
=80=D0=B0=D1=84=D0=B8=D1=87=D0=B5=D1=81=D0=BA=
D0=B8=D0=BC==D0=B1=D1=80=D0=B0=D1=83=D0=B7=D0=
B5=D1=80=D0=BE=D0=BC=D0=B2==D1=82=D0=B5=D1=87=
D0=B5=D0=BD=D0=B8=D0=B5 1==D0=BC=D0=B5=D1=81=
D1=8F=D1=86=D0=B0 =D1=81==D0=BC=D0=BE=D0=BC=D0=
B5=D0=BD=D1=82=D0=B0==D0=BF=D0=BE=D0=BB=D1=83
=D1=87=D0=B5=D0=BD=D0=B8=D1=8F==D1=8D=D1=82=D0
=BE=D0=B3=D0=BE==D1=81=D0=BE=D0=BE=D0=B1=D1=89
=D0=B5=D0=BD=D0=B8=D1=8F.
*
pohlednic
~Dobr=FD den
Dost=E1v=E1te tento email, proto=9Ee V=E1m ,
poslal(a) elektronickou
star wars
pohlednici. Va=9Ae pohlednice je ulo=9Eena na
serveru centrum.cz a m=F9=9Eete si ji vyzvednout na adrese:
@# Tuto pohlednici budeme archivovat po dobu 30-ti dn=F9. Douf=E1me, =9Ee se V=E1m
bude l=EDbit. :-)
Nejvetsi vyber plakatu na @http://www.{blocked}centrum.cz
*
Hello
har send eit kort til deg.
Du kan henta kortet ditt p=E5
@# og skriva inn kortnummer 214 og passord 5016.
*
grusskarte
~Hallo
hat Ihnen eine Star Wars Postkarte geschickt!
Ihre Postkarte wurde am 10.09.2005 versendet und ist f=FCr 10 Tage gespeichert.
Sie k=F6nnen Sie unter folgender URL ansehen:
@#Mit freundlichen Gr=FC=DFen,
Free eCards - Grusskarte senden - send a free eCard
Powered by @http://www.deu{blocked}tschepost.de
*
galerij
~Hallo
Je hebt een electronisch kaartje ontvangen van
Je kunt je persoonlijke kaartje bekijken door naar het
volgende internet adreste gaan:
We hebben vele 100-en kaartjes in allerlei categori=EBn.
Natuurlijk kan ook jij een kaartje sturen, ga naar
@http://www.fon{blocked}ztv.nl
*
carte
~Bonjour
a cr=E9e une 'star wars' carte specialement pour vous, et vous l'a envoy=E9e le 10/09/05.
La carte sera sauvgard=E9e pendant 10 jours. Veuillez la recup=E9rer dans les 10 jours
avant qu'elle expire. Cliquer sur ce lien pour voir votre e-carte:
@#Alternativement vous pouvez lui envoyer une autre carte gratuitement sur
@www.smart{blocked}web.fr
*
~Ciao
ti ha inviato una cartolina digitale dal nostro sito.
Per visualizzare la cartolina =E8 sufficiente cliccare questo link:
@#Nel caso dovessi avere problemi nel visualizzare la tua cartolina, pu=F2
essere che i giorni a disposizione siano scaduti, =E8 comunque possibile
fare una prova a questo indirizzo: @www.reg{blocked}ione.it
*
greeting
~Hi there
There's a star wars postcard waiting for you, from .
Just click the link below to pick up your personal message:
@#(If you cannot view the image by clicking on the link, copy and paste
the attachment picture into your browser).
Best regards: @http://www.jed{blocked}inet.com
Adjunto: los ficheros adjuntos tendrán nombres variables y alguna de las siguientes extensiones:
* CMD
* COM
* PIF
* SCR
las direcciones de envío serán recopiladas desde ficheros de los siguietnes tipos:
* ADB
* ASP
* DBX
* EML
* FPT
* HTM
* INB
* MBX
* PHP
* PMR
* SHT
* TBB
* TXT
* WAB
Intentará evitar el envío a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:
* admi
* google
* help
* hotm
* info
* micro
* msn
* sale
* service
* soft.
* suppor
* webm
* zonela