|
W32/Zafi.B@mm, I.worm.zafi.B@mm
 |
Zafi.B es
un gusano residente en memoria, reportado el 11 de Junio del 2004, de propagación masiva
a través de mensajes de correo en uno de varios formatos definidos, con archivos anexados de nombres aleatorios, con
mas de una
extensión, siendo la última PIF.
También se difunde vía las redes P2P que se encuentren instaladas. |
El remitente y parte del contenido o nombre del archivo anexado, en forma aleatoria contienen el nombre de la dirección capturada en los sistemas infectados.
Sobre-escribe con su código viral los archivos con extensión .EXE de las carpetas de la unidad C:\
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 12.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables).
Los mensajes tienen los siguientes formatos:
Formato 1
Remitente: [nombre_de_dirección_capturada]
Asunto: You`ve got 1 VoiceMessage!
Contenido:
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
Sender: [nombre_de_dirección_capturada]
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).
Anexado: link.voicemessage.com.listen.index.php1Ab2c.pif
Formato 2
Remitente: [nombre_de_dirección_capturada]
Asunto: Don`t worry, be happy!
Contenido:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye: [nombre_de_dirección_capturada]
Anexado: www.ecard.com.funny.picture.index.nude.php356.pif
Formato 3
Remitente: [nombre_de_dirección_capturada]
Asunto: Check this out kid!!!
Contenido:
Send me back bro, when you`ll be done...(if you know what i mean...)
See ya, [nombre_de_dirección_capturada]
Anexado: [nombre_de_dirección_capturada] the wild girl xxx07.jpg.pif
Formato 3
(en lenguaje alemán)
El gusano captura los buzones de correo de archivos que tengan estas extensiones:
Tiene una rutina que omite aquellas direcciones que tengan las siguientes cadenas:
Al ser activado se auto-copia a la carpeta %System% de la siguiente forma:
Para ejecutarse la próxima vez que se
re-inicie el sistema modifica la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"_Hazafibb" = "%System%\[archivo_de_nombre_aleatorio_descargado]"
También libera y copia a la carpeta %System% varios archivos de nombres aleatorios con extensión .DLL, los mismos que contienen las direcciones de correo capturadas de los sistemas previamente infectados.
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Además crea la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\_Hazafibb]
Para propagarse a través de las redes Peer to Peer libera y copia 2 archivos que contienen su código viral, en aquellas carpetas que contengan la cadenas de texto "share" y "upload":
El gusano infecta archivos con extensión .EXE
de carpetas en la unidad C:\ y se conecta en forma aleatoria a
cualquier enlace visitado anteriormente por el usuario, el mismo que es
seleccionado de la siguiente llave:
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs]
Finalmente termina la ejecución de procesos que tengan las siguientes
cadenas de texto:
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.7 con registro de virus al 11 de Junio del 2004 detecta y elimina este gusano.
