W32/Zafi.C. Sobrescribe ejecutables del sistemaNombre: W32/Zafi.C
Nombre Nod32: Win32/Zafi.C
Tipo: Gusano de Internet
Alias: Zafi.C, Win32/Zafi.C, I-Worm.Zafi.c, W32./Zafi.C@mm, W32.Erkez.C@mm, W32/Zafi.C.worm, W32/Zafi.c@MM, W32/Zafi-C, Win32/Zafi.C@mm, WORM_ZAFI.C, Zafi.C
Plataforma: Windows 32-bit
Tamaño: 15,993 bytes (FSG)
Este gusano se propaga por correo electrónico y recursos compartidos en redes.
Si el gusano localiza un archivo .EXE cuyo nombre coincida con una determinada lista de productos antivirus y cortafuegos, lo sobrescribe con su propio código.
Si localiza una carpeta con algunos de esos nombres, el gusano borra todos los archivos .EXE en dicha carpeta y en todas sus subcarpetas.
También puede deshabilitar el Centro de seguridad de Windows XP SP2.
El gusano se envía a todos los contactos de la libreta de direcciones de Windows de la máquina infectada. Utiliza como remitente falso, algunas de esas mismas direcciones. También busca direcciones de correo en archivos de todos los discos y carpetas, con la siguientes extensiones:
.adb
.asp
.dbx
.eml
.htm
.mbx
.php
.pmr
.sht
.tbb
.txt
.wab
El gusano utiliza su propio motor SMTP para enviarse por correo, en mensajes como los siguientes:
Ejemplo 1:
De: [falso]
Asunto: [uno de los siguientes]
- call us back!
- CNM, Technology Company!
- job details!
- Network monitoring!
- offer!
- please read!
- Thank you!
Texto del mensaje:
Our company ( CNM, Technology Company , [año actual])
is the third fastest growing technology company in [año
actual]. Job Type: System and Network monitoring .
Requirements: Windows XP, 2000, 98 minimal
expertise,and networking skills. If you accept our
offer , please read the job details document for the
full description, and call us back . Thank you , David
Morgen, Office Manager (CNM, Tech. [año actual]) Email:
Datos adjuntos: mail title = [texto del mensaje]
Ejemplo 2:
De: [dirección falsa]
Asunto: [uno de los siguientes]
- give a little hope!
- Please read the full story
- Please, send forward this letter!
- send forward
- very sick little girl
Texto del mensaje:
Please, send forward this letter, and you can give a
little hope to a very sick little girl, who is dying in
the hospital, in [año actual].
Please read the full story, and send forward!!
Datos adjuntos: mail title = [texto del mensaje]
Ejemplo 3:
De: [dirección falsa]
Asunto: Hey buddy !** Can you send me one more of your
free mp3 list ? Please,thanks!
Texto del mensaje:
Hey buddy !** Can you send me one more of your free mp3
list ? Please,thanks!
Datos adjuntos: mail title = [texto del mensaje]
Ejemplo 4:
De: [dirección falsa]
Asunto: [uno de los siguientes]
- please hurry!
- waiting for you!
- Your lover!
Texto del mensaje:
Your lover is waiting for you tomorrow, so please
hurry,hurry because.. '
Datos adjuntos: mail title = [texto del mensaje]
Ejemplo 5:
De: [dirección falsa]
Asunto: [uno de los siguientes]
- Call me
- I thought maybe we can...
- I`m off
- Miss you baby
- okay
- Whats you doing tomorrow?
Texto del mensaje:
Miss you baby! Whats you doing tomorrow? I`m off, so...
I thought maybe we can... Call me okay, before it`s too
late
Datos adjuntos: mail title = [texto del mensaje]
El archivo adjunto puede tener extensión .EXE o .SCR, y el texto de los mensajes pueden estar escritos en diferentes idiomas.
Para propagarse por la red, libera copias de si mismo en todas las carpetas cuyos nombres contengan las siguientes cadenas:
shar
upload
downlo
Se copia en esas carpetas con nombres como los siguientes (entre otros):
doom3 keygen.exe
Install_AIM.exe
uninstall.exe
Las copias muestran un icono con el símbolo de Word.
Está programado para lanzar ataques de denegación de servicio (DoS), a los siguientes sitios:
www.google.comwww.microsoft.comwww.miniszterelnok.hu Este último es el sitio oficial del Primer Ministro húngaro.
También es capaz de finalizar los procesos cuyos nombres contengan las siguientes cadenas:
regedit
msconfig
task
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\svchost.com
c:\windows\system32\svchost.con
Note la semejanza con SVCHOST.EXE, un archivo legítimo de Windows (Generic Host Process for Win32 Services).
También crea archivos como los siguientes:
c:\tm.txt
c:\windows\system32\svchosr.co?
Donde "?" es un número. Estos archivos almacenan las direcciones de correo obtenidas del sistema infectado, y usadas luego para enviar sus mensajes infectados.
El gusano evita enviarse a direcciones con las siguientes cadenas:
aol
cafee
google
help
hoo.com
hotmail.co
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
vir
webm
Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio del sistema:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_svchost.con = "c:\windows\system32\svchost.com"
También crea la siguiente entrada en el registro:
HKLM\Software\Microsoft\UpdateZ3
Modifica los siguientes valores del registro, para deshabilitar algunos antivirus y otras aplicaciones de seguridad, incluido el nuevo "Centro de seguridad" de Windows XP SP2:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess
\Parameters\FirewallPolicy\StandardProfile
DisableNotifications = "1"
EnableFirewall = "0"
DoNotAllowExceptions = "0"
HKLM\Software\Microsoft\Security Center
AntiVirusDisableNotify = "1"
AntiVirusOverride = "1"
FirewallDisableNotify = "1"
FirewallOverride = "1"
UpdatesDisableNotify = "1"
El gusano intenta sobrescribir archivos con extensión .EXE. La mayoría de estos archivos son los ejecutables de muchos antivirus y otras aplicaciones de seguridad.
Crea el siguiente mutex para no ejecutarse más de una vez en memoria:
UpdateZ3
Reparación IMPORTANTE: Note que estas instrucciones de limpieza se dan únicamente como una guía de referencia, ya que la recuperación de los archivos sobrescritos, dependerá del daño causado por el troyano desde el momento de ocurrida la infección, hasta el momento de su detección.
AntivirusActualice sus antivirus con las últimas definiciones
1. Reinicie Windows en modo a prueba de fallos
2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
3. Borre los archivos detectados como infectados.
Editar el registroNota: algunas de las ramas en el registro aquí mencionadas, pueden no estar presentes ya que ello depende de que versión de Windows se tenga instalada.
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\UpdateZ3
3. Haga clic en la carpeta "UpdateZ3" y bórrela.
4. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\Software
\Microsoft
\Security Center
5. Haga clic en la carpeta "Security Center" y cambie los valores en el panel de la derecha, por los siguientes:
AntiVirusDisableNotify = "0"
AntiVirusOverride = "0"
FirewallDisableNotify = "0"
FirewallOverride = "0"
UpdatesDisableNotify = "0"
6. En el panel izquierdo del editor, haga clic en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
7. Haga clic en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:
_svchost.con
8. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
9. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicionalLimpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/zafi-c.htmW32/Bagz.E. Desactiva cortafuegos de WindowsNombre: W32/Bagz.E
Nombre Nod32: Win32/Bagz.E
Tipo: Gusano de Internet
Alias: Bagz.E, Win32/Bagz.E, Win32.Bagz.C, Win32/Bagz.C.Worm, I-Worm.Bagz.d, W32/Bagz.D@mm, W32/Bagz.e@MM
Plataforma: Windows 32-bit
Tamaño: 155,138 bytes (UPX)
Gusano que intenta deshabilitar el cortafuegos de Windows XP. Su presencia en un sistema infectado, resulta en una notoria caída de rendimiento en la conexión a Internet.
Se propaga por correo electrónico en forma masiva, utilizando su propio motor SMTP, a direcciones obtenidas en archivos de la máquina infectada. Utiliza remitentes falsos.
Los mensajes tienen las siguientes características:
De: [una dirección falsa]
Asunto: [uno de los siguientes]
- Administrator
- Allert!
- Amirecans
- ASAP
- Att
- attach
- attachments
- best regards
- contract
- Have a nice day
- Hello
- Money
- office
- please responce
- re: Andrey
- re: order
- re: please
- Read this
- Russian's
- text
- toxic
- urgent
- Vasia
- waiting
- Warning
Texto del mensaje: [uno de los siguientes]
Ejemplo 1:
Hi
Did you get the previous document I attached
for you? I resent it in this email just in
case, because I really need you to check it out
asap.
Best Regards
Ejemplo 2:
Hi
I made a mistake and forgot to click attach
on the previous email I sent you. Please give
me your opinion on this opportunity when you
get a chance.
Best Regards
Ejemplo 3:
Hi
I was supposed to send you this document
yesterday. Sorry for the delay, please forward
this to your family if possible.
It contains important info for both of you.
Best Regards
Ejemplo 4:
Hi
Sorry, I forgot to send an important
document to you in that last email. I had an
important phone call. Please checkout attached
doc file when you have a moment.
Best Regards
Ejemplo 5:
Hi
I was in a rush and I forgot to attach an
important document. Please see attached doc
file.
Best Regards
Ejemplo 6:
Sorry to bother you, but I am having a problem
receiving your emails. I am responding to your
last email in the attached file.
Please get back to me if there is any problem
reading the attachment.
Ejemplo 7:
I am responding to your last email in the
attached file. I had a delivery problem with
your inbox, so maybe you'll receive this now.
Ejemplo 8:
Can you please check out the email I have
attached? For some reason, I received only part
of your last several emails.
I want to make sure that there are no problems
with either of our accounts.
This email is being sent as attachment because
it was previously blocked by your email
filters.
Please view the attachment and respond.
Thanks
Ejemplo 9:
I resent this email as attachment because
it was previously blocked by your email
filters.
Please read the attachment and respond.
Thanks
Ejemplo 10:
I apologize, but I need you to verify
that I have the correct contact info for you.
My system crashed last weekend and
I lost most of my friends and work contacts.
Please check the attached (.pdf) and
please let me know if your info is current.
Ejemplo 11:
My last email to you was returned.
The reason is that I am not currently
added to your "allowed" contact list.
Please add my updated contact info
provided in the attached (.pdf) file
so I can send you emails in the future.
Sincerely
Ejemplo 12:
I have updated my email address
See the (.pdf) file attached and
please respond if you have any questions.
Ejemplo 13:
We have made recent updates to our database.
Please verify your mailing address on file is
correct. We have attached a (.pdf) sheet for
you to use for your response.
Ejemplo 14:
Hello
Our contact information has changed.
See the attached (.pdf) sheet for details.
Sincerely,
Ejemplo 15:
***URGENT: SERVICE SHUTDOWN NOTICE***
Due to your failure to comply with our email
Rules and Regulations, your email account has
been temporarily suspended for 24 hours unless
we are contacted regarding this situation.
You must read the attached document for further
instructions. Failure to comply will result in
termination of your account.
Regards,
Net Operator
***URGENT: SERVICE SHUTDOWN NOTICE***
Ejemplo 16:
***ATTENTION: YOUR EMAIL IS NOT BEING
DELIVERED!***
You are currently unable to send emails.
This may be a billing issue.
Please call the billing center.
The # for the billing office is located in the
attached
contact list for your convenience.
***ATTENTION: YOUR EMAIL IS NOT BEING
DELIVERED!***
Ejemplo 17:
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Hello,
The previous email you sent has been recognized
as spam. This means your email was not
delivered to your friend or client.
You must open the attached file to receive more
information.
***YOUR MESSAGE HAS BEEN RECOGNIZED AS SPAM***
Ejemplo 18:
Hello,
What version of windows you are using?
This last document I received from you came out
weird.
Please see the attached word file and resend
the file to me.
Many thanks,
User
Ejemplo 19:
Your email was sent in an INVALID format. To verify
this email was sent from you, simply open the attached
email (.eml) file and click yes in the sender options
box.
Thank You, User
Ejemplo 20:
Hello,
My PC crashed while I was sending that last
email.
I have re-attached the document of yours that I
discovered.
Please read attached document and respond ASAP.
Sincerely,
User
Ejemplo 21:
Hello,
Your email was received.
YOUR REPLY IS URGENT!
Please view the attached text file for
instructions.
Regards,
User
Ejemplo 22:
Hello,
I was in a hurry and I forgot to attach an
important document. Please see attached.
Best Regards,
User
Ejemplo 23:
Hello,
I resent this email as attachment because
it was previously blocked by your email
filters.
Please read the attachment and respond.
Thanks,User
Ejemplo 24:
Hello,
Sorry, I forgot to attach the new contact
information.
Please view the attached (.pdf) contact sheet.
Sincerely,
User
Datos adjuntos: [uno de los siguientes]
about.doc [espacios] .exe
about.zip
admin.doc [espacios] .exe
admin.zip
archivator.doc [espacios] .exe
archivator.zip
archives.doc [espacios] .exe
archives.zip
ataches.doc [espacios] .exe
ataches.zip
backup.doc [espacios] .exe
backup.zip
docs.doc [espacios] .exe
docs.zip
documentation.doc [espacios] .exe
documentation.zip
help.doc [espacios] .exe
help.zip
inbox.doc [espacios] .exe
inbox.zip
manual.doc [espacios] .exe
manual.zip
outbox.doc [espacios] .exe
outbox.zip
payment.doc [espacios] .exe
payment.zip
photos.doc [espacios] .exe
photos.zip
rar.doc [espacios] .exe
rar.zip
readme.doc [espacios] .exe
readme.zip
save.doc [espacios] .exe
save.zip
zip.doc [espacios] .exedoc.zip
zip.zip
Los archivos ZIP contienen una copia del gusano con el mismo nombre del adjunto y dos extensiones separadas por espacios (.DOC y .EXE).
Cuando se ejecuta, crea los siguientes archivos:
c:\windows\system32\rpc32.exe
c:\windows\system32\run32.exe
c:\windows\system32\sysboot.doc [espacios] .exe
También crea los siguientes archivos que solo contendrán datos almacenados por el gusano:
c:\windows\system32\ipdb.dll
c:\windows\system32\jobdb.dll
c:\windows\system32\wdate.dll
NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).
El gusano crea un servicio llamado "RUN32" para ejecutarse en cada reinicio del sistema. El servicio muestra el nombre "Network Explorer", y la descripción "Starts and configures accessibility tools from one window".
Puede deshabilitar el cortafuegos de Windows XP, e instalar su propio driver de redes para eludir el cortafuegos de la red local.
También puede descargar y ejecutar otros archivos desde los siguientes dominios:
ug66.biz
warfed.biz
Busca direcciones electrónicas a las que luego se envía en mensajes como los descriptos antes, en archivos del equipo infectado con las siguientes extensiones:
.dbx
.htm
.tbb
.tbi
.txt
El gusano evita enviarse a direcciones con las siguientes cadenas en sus nombres:
@avp
@foo
@iana
@messagelab
@microsoft
abuse
admin
administrator@
all@
anyone@
bsd
bugs@
cafee
certific
certs@
contact@
contract@
feste
free-av
f-secur
gold-
gold-certs@
google
help@
hostmaster@
icrosoft
info@
kasp
linux
listserv
local
netadmin@
news
nobody@
noone@
noreply
ntivi
panda
pgp
postmaster@
rating@
root@
samples
sopho
spam
support
support@
unix
update
webmaster@
winrar
winzip
También modifica el archivo HOSTS de Windows, para impedir que el usuario infectado pueda acceder a los siguientes sitios de Internet:
ad .doubleclick .net
ad .fastclick .net
ads .fastclick .net
ar .atwola .com
atdmt .com
avp .com
avp .ch
avp .ru
awaps .net
banner .fastclick .net
banners .fastclick .net
ca .com
click .atdmt .com
clicks .atdmt .com
dispatch .mcafee .com
download .mcafee .com
download .microsoft .com
downloads .microsoft .com
engine .awaps .net
fastclick .net
f-secure .com
ftp .f-secure .com
ftp .sophos .com
go .microsoft .com
liveupdate .symantec .com
mast .mcafee .com
mcafee .com
media .fastclick .net
msdn .microsoft .com
my-etrust .com
nai .com
networkassociates .com
office .microsoft .com
phx .corporate-ir .net
secure .nai .com
securityresponse .symantec .com
service1 .symantec .com
sophos .com
spd .atdmt .com
support .microsoft .com
symantec .com
update .symantec .com
updates .symantec .com
us .mcafee .com
vil .nai .com
viruslist .ru
windowsupdate .microsoft .com
www .avp .com
www .avp .ch
www .avp .ru
www .awaps .net
www .ca .com
www .fastclick .net
www .f-secure .com
www .kaspersky .ru
www .mcafee .com
www .my-etrust .com
www .nai .com
www .networkassociates .com
www .sophos .com
www .symantec .com
www .trendmicro .com
www .viruslist .ru
www3 .ca .com
Reparación Deshabilitar cualquier conexión a Internet o una red
Es importante desconectar cada computadora de cualquier conexión a Internet, o red local, antes de proceder a su limpieza.
AntivirusActualice sus antivirus con las últimas definiciones
1. Reinicie Windows en modo a prueba de fallos,
2. Ejecutar Administrador de tareas.
a. En Windows 95/98/Me pulse CTRL+ALT+SUPR (ver "Utilización de la herramienta "Process Explorer")
b. En Windows NT/2K/XP pulse CTRL+SHIFT+ESC y seleccione la lengüeta "Procesos"
3. En la lista de programas (nombre de imagen) localice el siguiente proceso:
Run32.exe
4. Seleccione ese nombre y haga clic en "Terminar proceso" o "Finalizar tarea".
5. Para asegurarse de haberlo quitado, vuelva a ejecutar los pasos 2, 3 y 4 si fuera necesario.
Utilización de la herramienta "Process Explorer"Para completar exitosamente el proceso de eliminación, es necesario detener la ejecución del virus en memoria. Puede usarse el administrador de tareas de Windows como se indicó antes, pero en Windows 95, 98 y Me, no todas las tareas en ejecución son visibles. Por ello se sugiere la herramienta de uso gratuito "Process Explorer" (100 Kb), que puede ser descargada del siguiente enlace:
http://www.sysinternals.com/ntw2k/freeware/procexp.shtmlUna vez descargada dicha herramienta, cree una nueva carpeta, copie allí el contenido del archivo .ZIP descargado y ejecute el archivo PROCEXP.EXE.
Para la finalización de los procesos indicados, localice y "mate" (Kill Process), cada proceso cuyo nombre se menciona en los pasos anteriores (ver "Eliminación de procesos del virus en memoria"), buscándolo bajo la columna "Process" de la ventana superior de la utilidad "Process Explorer".
Buscar y detener el servicio (Windows XP):1. Desde Inicio, Ejecutar, escriba SERVICES.MSC y pulse Enter.
2. En la lista de servicios busque "Windows Secure SSL".
3. Haga doble clic sobre ese servicio, y haga clic en el botón "Detener" si corresponde.
4. Cambie el "Tipo de inicio" a Manual.
5. Haga clic en "Aceptar" y cierre la ventana de Servicios.
Antivirus1. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.
2. Borre los archivos detectados como infectados.
Borrar manualmente archivos agregados por el virusDesde el Explorador de Windows, localice y borre los siguientes archivos:
c:\windows\system32\ipdb.dll
c:\windows\system32\jobdb.dll
c:\windows\system32\rpc32.exe
c:\windows\system32\run32.exe
c:\windows\system32\sysboot.doc [espacios] .exe
c:\windows\system32\wdate.dll
Haga clic con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y seleccione "Vaciar la papelera de reciclaje".
Restaurar archivo HOSTS1. Utilizando el Explorador de Windows, busque el archivo HOSTS (sin extensión), en alguna de las siguientes carpetas:
c:\windows\
c:\windows\system32\drivers\etc\
c:\winnt\system32\drivers\etc\
2. Si aparece, haga doble clic sobre dicho archivo (HOSTS). Seleccione "Seleccionar el programa de una lista", "Aceptar", y luego seleccione NOTEPAD (Bloc de notas). NO MARQUE "Utilizar siempre el programa seleccionado para abrir este tipo de archivos".
3. Borre todas las líneas que comiencen con un número, salvo las siguientes:
127.0.0.1 localhost
4. Acepte guardar los cambios al salir del bloc de notas.
Limpieza de virus en Windows Me y XPSi el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema"
Más información:
http://www.vsantivirus.com/bagz-e.htm
