Zafi.B trata de provocar ataques de flood en los portales del gobierno y los fabricantes de antivirus de toda Hungría. Por suerte, parece que el autor no tiene conocimientos para hacer un buen “seeding”, y por lo tanto el virus no se está propagando tan rápido como lo podría haber hecho. El virus se copia a si mismo en las carpetas compartidas más usuales y recoge direcciones de correo electrónico del equipo infectado, para luego enviarse.
Se utilizan unos trucos muy inteligentes de ingeniería social: el virus, escrito probablemente por un húngaro, “habla” 18 idiomas europeos y viene camuflado como postal virtual en el idioma del dominio donde se envía. “Los usuarios pueden caer fácilmente en la trampa. Es una nueva técnica de ingeniería social, la cual probablemente será utilizada por otros creadores de virus.” declara Patrick Vicol, Analista del Laboratorio BitDefender.
Generalmente, el e-mail contiene un link falso hacia una web de postales virtuales.
Nombre....
W32/Zafi.BTipo...................Gusano de Internet
Alias..................Zafi.B, Win32/Zafi.B, PE_ZAFI.B, WORM_ZAFI.B, W32/Zafi-B, I.worm.zafi.B@mm, W32/Zafi.B@mm, I-Worm.Zafi.b, W32.Erkez.B@mm
Fecha.................10/jun/04
Plataforma..........Windows 32-bit
Tamaño..............12,800 bytes
Información de VSANTIVIRUS.COMEste gusano es capaz de propagarse a través del correo electrónico, utilizando direcciones seleccionadas de diversos archivos de los equipos infectados.
También se copia en carpetas que contengan ciertas cadenas en sus nombres, con la idea de propagarse por redes de intercambio de archivos entre usuarios (P2P).
Intenta sobrescribir todos los archivos .EXE localizados en determinadas carpetas del sistema operativo.
Además, puede deshabilitar la ejecución de determinados procesos del sistema.
Ejemplos de algunos de los posibles mensajes creados y enviados por el gusano:
Ejemplo 1: De: Anita
Asunto: Ingyen SMS!
Datos adjuntos:
regiszt.php?3124freesms.index777.pif
Texto del mensaje:
------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet
felhasználni. Küldj te is SMST! Nehány kattintás és a
mellékelt regisztrációs lap kitöltése után azonnal
igénybevehet?! B?vebb információt a www .777sms .hu
oldalon találsz, de siess, mert az els? ezer
felhasználó között értékes nyereményeket sorsolunk ki!
------------------------ axelero.hu ---------------------------
Ejemplo 2: De: Claudia
Asunto: Importante!
Datos adjuntos:
link.informacion.phpV23.text.message.pif
Texto del mensaje:
Informacion importante que debes conocer, -
Ejemplo 3: De: Katya
Asunto: Katya
Datos adjuntos:
view.link.index.image.phpV23.sexHdg21.pif
Texto del mensaje:
ADAOIU
OEIE
Ejemplo 4: De: .
Asunto: E-Kort!
Datos adjuntos:
link.ekort.index.phpV7ab4.kort.pif
Texto del mensaje:
Mit hjerte banker for dig!
Ejemplo 5: De: Marica
Asunto: Ecard!
Datos adjuntos:
link.showcard.index.phpAv23.ritm.pif
Texto del mensaje:
De cand te-am cunoscut inima mea are un nou ritm!
Ejemplo 6: De: Anna
Asunto: E-vykort!
Datos adjuntos:
link.vykort.showcard.index.phpBn23.pif
Texto del mensaje:
Till min Alskade...
Ejemplo 7: De: Erica
Asunto: E-Postkort!
Datos adjuntos:
link.postkort.showcard.index.phpAe67.pif
Texto del mensaje:
Vakre roser jeg sammenligner med deg...
Ejemplo 8: De: Katarina
Asunto: E-postikorti!
Datos adjuntos:
link.postikorti.showcard.index.phpGz42.pif
Texto del mensaje:
Iloista kesaa!
Ejemplo 9: De: Magdolina
Asunto: Atviruka!
Datos adjuntos:
link.atviruka.showcard.index.phpGz42.pif
Texto del mensaje:
Linksmo gimtadieno!
Ejemplo 10: De: Beate
Asunto: E-Kartki!
Datos adjuntos:
link.kartki.showcard.index.phpVg42.pif
Texto del mensaje:
W Dniu imienin...
Ejemplo 11: De: @
Asunto: Cartoe Virtuais!
Datos adjuntos:
link.cartoe.viewcard.index.phpYj39.pif
Texto del mensaje:
Te amo...
Ejemplo 12: De: Alice
Asunto: Flashcard fuer Dich!
Datos adjuntos:
link.flashcard.de.viewcard34.php.2672aB.pif
Texto del mensaje:
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in
deinem Browser einfach den nun folgenden link:
http:/ /flashcard .de/interaktiv /viewcards /view
.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
Ejemplo 13: De:
Asunto: Er staat een eCard voor u klaar!
Datos adjuntos:
postkaarten.nl.link.viewcard.index.phpG4a62.pif
Texto del mensaje:
Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te
klikken of te kopiren in uw browser link:
http:/ /postkaarten .nl /viewcard .show53 .index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Ejemplo 14: De: Hanka
Asunto: Elektronicka pohlednice!
Datos adjuntos:
link.seznam.cz.pohlednice.index.php2Avf3.pif
Texto del mensaje:
Ahoj!
Elektronick pohlednice ze serveru
http:/ /www .seznam .cz
Ejemplo 15: De: Claudine
Asunto: E-carte!
Datos adjuntos:
link.zdnet.fr.ecarte.index.php34b31.pif
Texto del mensaje:
vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http:/ /zdnet .fr/showcard .index .php34bs42
www .zdnet .fr, plus de 3500 cartes virtuelles, vos
pages web en 5 minutes, du dialogue en direct...
Ejemplo 16: De: Francesca
Asunto: Ti e stata inviata una Cartolina Virtuale!
Datos adjuntos:
link.cartoline.it.viewcard.index.4g345a.pif
Texto del mensaje:
Ciao!
ha visitato il nostro sito, cartolina.it e ha creato
una cartolina virtuale per te! Per vederla devi fare
click sul link sottostante:
http:/ /cartolina .it /asp .viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server
per 2 giorni e poi verra rimossa automaticamente.
Ejemplo 17: De: Jennifer
Asunto: You`ve got 1 VoiceMessage!
Datos adjuntos:
link.voicemessage.com.listen.index.php1Ab2c.pif
Texto del mensaje:
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage .com
website! You can listen your Virtual VoiceMessage at
the following link:
http:/ /virt.voicemessage .com /index .listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage
Empire!
Best regards: SNAF.Team (R).
Ejemplo 18: De: Anita
Asunto: Tessek mosolyogni!!!
Datos adjuntos:
meztelen csajok fociznak.flash.jpg.pif
Texto del mensaje:
Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:
Ejemplo 19: De: Anita
Asunto: Soxor Csok!
Datos adjuntos:
anita.image043.jpg.pif
Texto del mensaje:
Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók:
Ejemplo 20: De: Jennifer
Asunto: Don`t worry, be happy!
Datos adjuntos:
www.ecard.com.funny.picture.index.nude.php356.pifTexto del mensaje:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
Ejemplo 21: De: David
Asunto: Check this out kid!!!
Datos adjuntos:
jennifer the wild girl xxx07.jpg.pif
Texto del mensaje:Send me back bro, when you`ll be done...(if you
know what i mean...)
See ya, David
Cuando se ejecuta, el gusano crea copias de si mismo en el directorio del sistema de Windows, con nombres al azar:
c:\windows\system\[nombre al azar].exe
c:\windows\system\[nombre al azar].dll
NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.
También creará allí otros archivos con extensión .DLL y nombres al azar, que contendrán las direcciones de correo que el gusano obtendrá del equipo infectado.
Se copia también en carpetas que contengan las siguientes cadenas de caracteres en sus nombres:
share
upload
Para ello utiliza los siguientes nombres: winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_Hazafibb = c:\windows\system\[nombre al azar].exe
Para propagarse, busca direcciones de correo en archivos de todos los discos y carpetas, con la siguientes extensiones:
.adb
.asp
.dbx
.eml
.htm
.mbx
.php
.pmr
.sht
.tbb
.txt
.wab
Evita enviarse a direcciones que contengan las siguientes cadenas en sus nombres:
admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
use
vir
webm
win
yaho
El gusano es capaz de sobrescribir los archivos .EXE ubicados en determinadas carpetas del sistema, con una copia de si mismo.
También abre al azar, sitios visitados anteriormente por el usuario. Esta información la obtiene de la siguiente rama del registro:
HKCU\Software\Microsoft\Internet Explorer\TypedURLs
Finalmente, el gusano puede deshabilitar la ejecución de los procesos que contengan las siguientes cadenas en sus nombres:
msconfig
regedit
task
Reparación manualDeshabilitar las carpetas compartidas de programas P2PEs necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.
Para ello, siga las instrucciones del siguiente artículo:
Cómo deshabilitar compartir archivos en programas P2PAntivirusActualice sus antivirus con las últimas definiciones, luego siga estos pasos:
1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:
Cómo iniciar su computadora en
Modo a prueba de fallos.2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
NOTA: Algunos archivos sobrescritos por el virus deberán ser restaurados desde un respaldo anterior o mediante una reinstalación.
Editar el registro1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
_Hazafibb
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\_Hazafibb
5. Pinche en la carpeta "_Hazafibb" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicionalMostrar las extensiones verdaderas de los archivosPara poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'
Fuente Noticiasdot
