W32/Zafi.E@mm, W32/Erkez.F@mm, I.worm.zafi.E@mm

Dependiendo del dominio del receptor usará un determinado lenguaje: por ejemplo a los de extensión COM, NET, ORG, se auto-enviarán en inglés, DE lo hará en alemán, ES y MX en español, IT en italiano, etc.

También se difunde vía las redes Peer to Peer que se encuentren instaladas, termina los procesos de varios antivirus y del sistema operativo.

Es un PE (Portable Ejecutable) e infecta Windows 98/Me/NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con 15 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

Anexado, puede ser uno de los siguientes:

• udvozlolap
  Kedves Felhaszn=E1l=F3
  % elektronikus =FCdv=F6zl=F5lapot k=FCld=F6tt =D6nnek!
  Megtekint=E9s=E9hez kattintson a mell=E9kelt k=E9p hivatkoz=E1s=E1ra, vagy m=E1solja be
  a b=F6ng=E9sz=F5 (Internet Explorer, Netscape Navigator, Mozilla, stb.) c=EDmsor=E1ba!
  A m=E1r k=E9zbes=EDtett lapokat 3 h=E9tig =F5rizz=FCk meg!
  http://www.tv2.hu/[Removido]
• tarjeta
  ~=A1Hola
  Hay una tarjeta disponible en Neptun.mx de parte de %.
  Para verla, hacer click en el siguiente enlace:
  Te recordamos que si eres Gusuario Premium tu tarjeta estar=E1
  disponible
  en todo momento durante la vigencia de tu membres=EDa; si no lo eres,
  estar=E1 disponible dos semanas a partir de la fecha en que la env=EDes.
• postcard
  [multi bytes message]
• pohlednic
  Dobr=FD den
  Dost=E1v=E1te tento email, proto=9Ee V=E1m %,
  poslal(a) elektronickou `star wars` pohlednici. Va=9Ae pohlednice je ulo=9Eena na
  serveru centrum.cz a m=F9=9Eete si ji vyzvednout na adrese:
  Tuto pohlednici budeme archivovat po dobu 30-ti dn=F9. Douf=E1me, =9Ee se V=E1m
  bude l=EDbit. :-)
  Nejvetsi vyber plakatu na http://www.centrum.cz/[Removido]
  Anna Birketveit
• Hello
  % har send eit kort til deg.
  Du kan henta kortet ditt p=E5
  og skriva inn kortnummer 214 og passord 5016.
  grusskarte
• Hallo
  % hat Ihnen eine Star Wars Postkarte geschickt!
  Ihre Postkarte wurde am 10.09.2005 versendet und ist f=FCr 10 Tage gespeichert.
  Sie k=F6nnen Sie unter folgender URL ansehen:
  Mit freundlichen Gr=FC=DFen,
• Free eCards - Grusskarte senden - send a free eCard
  Powered by http://www.deutschepost.de/[Removido]
• carte
  Bonjour
  % a cr=E9e une 'star wars' carte specialement pour vous, et vous l'a envoy=E9e le 10/09/05.
  La carte sera sauvgard=E9e pendant 10 jours. Veuillez la recup=E9rer dans les 10 jours avant qu'elle expire.
  Cliquer sur ce lien pour voir votre e-carte:
  Alternativement vous pouvez lui envoyer une autre carte gratuitement sur http://www.smartweb.fr/[Removido]
  Veronica Morrentino
• Ciao
  % ti ha inviato una cartolina digitale dal nostro sito.
  Per visualizzare la cartolina =E8 sufficiente cliccare questo link:
  Nel caso dovessi avere problemi nel visualizzare la tua cartolina, pu=F2
  essere che i giorni a disposizione siano scaduti, =E8 comunque possibile
  fare una prova a questo indirizzo: http://www.regione.it/[Removido]
  Monica Lembar
• Hi there
  There's a star wars postcard waiting for you, from %.
  Just click the link below to pick up your personal message:
  (If you cannot view the image by clicking on the link, copy and paste
  the attachment picture into your browser).
  Best regards: http://www.jedinet.com/[Removido]

Con cualquiera de las extensiones:

• cmd

• scr

• com

• pif

• zip

Usando su propio SMTP (Simple Mail Transfer Protocol) se envía a los buzones de la Libreta de Direcciones de Windows (WAB) o las contenidas en los archivos que tengan estas extensiones:

• htm
• wab
• txt
• dbx
• tbb
• asp
• php
• sht
• adb
• mbx
• eml
• pmr
• fpt
• inb

evitando enviarse a las que tienen las siguientes cadenas:

• google
• sale
• service
• info
• help
• admi
• webm
• micro
• msn
• hotm
• suppor
• soft.
• zonela

Al ser activado muestra la siguiente falsa caja de diálogo:

sin intervención del usuario el gusano se ejecuta en memoria y copia a la carpeta %System% como:

SYMANTEC_UPDATE-[números_aleatorios].exe y libera además en esa misma carpeta otro archivo con el nombre de [11_números_aleatorios]z.dll que es otra copia del gusano.

La cadena SYMANTEC puede ser reemplazada por una de las siguientes:

• Kaspersky
• McAfee
• Panda
• Sophos
• Symantec
• Trend

Para evitar ejecutarse más de una vez en los sistemas infectados crea un mutex de nombre "__ZF5 " y para activarse la próxima vez que se re-inicie el sistema crea la llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"__ZF5" = "%System%\SYMANTEC_UPDATE-[números_aleatorios].EXE"

y para almacenar información sobre las infecciones del gusano crea la llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\__ZF5]

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio termina los procesos de algunos antivirus, para lo cual busca los archivos:

• nmain.exe
• Luall.exe
• nod32.exe
• gcasDtServ.exe
• nod32krn.exe
• nod32kui.exe
• AVLTMAIN.EXE
• MRT.exe
• gcasServ.exe
• avginet.exe
• inetupd.exe
• fpavupdm.exe
• Updater.exe
• pcclient.exe
• F-StopW.exe
• drwebupw.exe
• QH32.EXE
• QHM32.EXE
• LIVEUP.exe
• savmain.exe
• savprogess.exe
• nod32.exe
• bdmcon.exe
• bdlite.exe
• McUpdate.exe
• mcmnhdlr.exe
• VBInstTmp.exe
• vbcmserv.exe
• vbcons.exe
• fspex.exe

Para propagarse a través de las redes Peer to Peer se copia a aquellas carpetas que contengan la cadenas de texto "upload", "share", "upload" y "music" con los siguientes archivos:

• ADOBE ACROBAT 8.0.EXE
• DIVX PLAYER 7.0.EXE

para dificultar su eliminación manual termina la ejecución de los procesos que tengan las cadenas: 

• reged
• msconfig
• task