|
W32/Zafi.C@mm, I.worm.zafi.C@mm
|
Zafi.C es un gusano residente en memoria, reportado el 29 de Octubre del 2004, de propagación masiva a través de mensajes de correo en uno de varios formatos definidos con archivos anexados construidos con nombres aleatorios y
extensiones EXE o SCR.
También se difunde vía las redes P2P que se encuentren instaladas. |
El archivo anexado es construido en forma compleja entre el nombre del Asunto y algún fragmento de cadena del Contenido, con las extensiones EXE o SCR
Infecta únicamente a Windows Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con extensión variable y comprimido con el utilitario FSG:
Los mensajes tienen los siguientes formatos:
Formato 1
Remitente: falso
Asunto, uno de los siguientes:
CNM, Technology Company!
Network monitoring!
offer!
please read!
job details!
call us back!
Thank you!
Contenido:
Our company ( CNM, Technology Company , [año_vigente]) is the third fastest growing technology company in [año_vigente]. Job Type: System and Network monitoring . Requirements: Windows XP, 2000, 98 minimal expertise,and networking skills. If you accept our offer , please read the job details document for the full description, and call us back .
Thank you , David Morgen, Office Manager (CNM, Tech. [año_vigente]) Email:
Anexado: título_del_mensaje + [cadena_de_Contenido]
Formato 2
Remitente: falso
Asunto, uno de los siguientes:
Please, send forward this letter!
give a little hope!
very sick little girl
Please read the full story
send forward
Contenido:
Please, send forward this letter, and you can give a little hope
to a very sick little girl, who is dying in the hospital, in [año_vigente]>.
Please read the full story, and send forward!!
Anexado: título_del_mensaje + [cadena_de_Contenido]
Formato 3
Remitente: falso
Asunto: Hey buddy !** Can you send me one more of your free mp3 list ? Please,thanks!
Contenido:Hey buddy !** Can you send me one more of your free mp3 list ? Please,thanks!
Anexado: título_del_mensaje + [cadena_de_Contenido]
Formato 4
Remitente: falso
Asunto, uno de los siguientes:
Your lover!
waiting for you!
please hurry!
Contenido: Your lover is waiting for you tomorrow, so please hurry,hurry because.. '
Anexado: título_del_mensaje + [cadena_de_Contenido]
Formato 5
Remitente: falso
Asunto, uno de los siguientes:
Miss you baby
Whats you doing tomorrow?
I`m off
I thought maybe we can...
Call me
okay
Contenido:
Miss you baby! Whats you doing tomorrow? I`m off, so... I thought maybe we can... Call me okay, before it`s too late
Anexado: título_del_mensaje + [cadena_de_Contenido]
Los archivos anexados tienen extensiones .EXE o .SCR, las cuales se disfrazan
con el icono de MS Word 
El gusano captura los buzones de la Libreta de Direcciones de Windows (WAB) o las contenidas en los archivos que tengan estas extensiones:
Tiene una rutina que omite aquellas direcciones que tengan las siguientes cadenas:
También envía mensajes en lenguaje húngaro.
Al ser activado se auto-copia a la carpeta %System% con los nombres:
asimismo libera varios archivos con el nombre Svchosr.co[número_aleatorio], en los cuales almacenará las direcciones de correo extraídas del sistema.
Para ejecutarse la próxima vez que se re-inicie el sistema modifica la llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"_svchost.con" = "%System%\Svchost.com"
%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.
Para propagarse a través de las redes Peer to Peer se copia con el nombre de Doom33 Keygen.exe a aquellas carpetas que contengan la cadenas de texto "share", "upload" y "download"
luego termina la ejecución de procesos que tengan las siguientes cadenas de texto:
Finalmente intenta ocasionar ataque DoS a los siguientes sitios:
Sus payloads son los siguientes:
PER ANTIVIRUS® versión 8.9 con registro de virus al 29 de Octubre del 2004 detecta y elimina este gusano.
