Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm.W32/Zafi.D@P2P+MM

Alias:
W32/Zafi.d@MM (McAfee), W32.Erkez.D@mm (Symantec), Win32.Zafi.D (Computer Associates), WORM_ZAFI.D (Trend Micro), Win32/Zafi.D (ESET (NOD32)), W32/Zafi-D (Sophos), Win32.Zafi.d (E-safe Aladdin), Zafi.D (F-Secure), W32/Zafi.D@mm (Norman)

Descripción:
Zafi.D es un gusano que se difunde mediante el envío masivo de mensajes de correo electrónico y redes de intercambio de archivos P2P (entre pares). Utiliza mensajes con el aspecto de una felicitación navideña en varios idiomas, que escoge según el dominio de la dirección de correo electrónico.

Intenta detener programas de seguridad como cortafuegos y antivirus, y de monitorización, como el Administrador de Tareas o el Editor del Registro de Windows. También puede intentar abrir una puerta trasera en el ordenador infectado.

Detalles:
Efectos

Cuando el gusano es ejecutado muestra el siguiente mensaje (falso):


Imagen de McAfee

Para difucultar la identificación manual del gusano intenta impedir la ejecución de procesos en cuyo nombre figuren las siguientes cadenas:

  • reged
  • msconfig
  • task

Abre el puerto TCP 8181 y espera conexiones.

Busca ficheros con extensión .exe en carpetas cuyos nombres contengan las siguientes cadenas:

  • syman
  • viru
  • trend
  • secur
  • panda
  • cafee
  • sopho
  • kasper

Instalación

Este gusano crea los siguientes ficheros en la carpeta %windir%\system32:

  • C:\WINNT\system32\ .EXE - 11.745 bytes
  • C:\WINNT\system32\Norton Update.exe - 11.745 bytes
  • C:\WINNT\system32\[caracteres aleatorios] .DLL - (gusano comprimido)
  • C:\s.cm - 20,552 bytes (módulo dll de winzipe)
Donde %windir% es la carpeta de instalación de Windows, por defecto C:\Windows en Windows XP.

Crea el siguiente valor:

"Wxp4" = "%System%\Norton Update.exe"

bajo la clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

para ser ejecutado durante el inicio de sesión del usuario.

Además crea varias entradas bajo la clave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

donde almacena su información.

Difusión por correo electrónico

Este virus recoge direcciones de correo electrónico de ficheros del PC infectado con las siguientes extensiones:

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr
  • fpt
  • inb
que guarda en la carpeta de sistema de Windows usando nombres aleatorios con extensión DLL.

Utiliza su propio motor SMTP para enviar mensajes con las siguientes características:

  • Remitente: (Falsificado)
  • Asunto: (Uno de los siguientes)
    • Merry Christmas!
    • boldog karacsony...
    • Feliz Navidad!
    • ecard.ru
    • Christmas Kort!
    • Christmas Vykort!
    • Christmas Postkort!
    • Christmas postikorti!
    • Christmas - Kartki!
    • Weihnachten card.
    • Prettige Kerstdagen!
    • Christmas pohlednice
    • Joyeux Noel!
    • Buon Natale!

  • Mensaje: Uno de los siguientes:
    • Happy HollyDays!
      :) [Remitente]
    • Kellemes Unnepeket!
      :) [Remitente]
    • Feliz Navidad!
      :) [Remitente]
    • :) [Remitente]
    • Glaedelig Jul!
      :) [Remitente]
    • God Jul!
      :) [Remitente]
    • God Jul!
      :) [Remitente]
    • Iloista Joulua!
      :) [Remitente]
    • Naulieji Metai!
      :) [Remitente]
    • Wesolych Swiat!
      :) [Remitente]
    • Fröhliche Weihnachten!
      :) [Remitente]
    • Prettige Kerstdagen!
      :) [Remitente]
    • Veselé Vánoce!
      :) [Remitente]
    • Joyeux Noel!
      :) [Remitente]
    • Buon Natale!
      :) [Remitente]

  • Adjunto: de nombre variable, pero suele contener la palabra "postal" en el idioma del resto del mensaje y doble extensión, siendo la última .bat, .cmd, .com, .pif, .zip

El gusano elije el idioma correspondiente a los dominios:

.hu .sp .ru .dk .ro .se .no .fi .lt .pl .pt .de .nl .cz .fr .it .mx .at .es

y evita enviarse a direcciones que contengan las siguientes cadenas:

yaho google win use info help admi ebm micro msn hotm suppor syman viru trend secur panda cafee sopho kasper.

El aspecto de los mensajes es tal que el siguiente:


Imagen de McAfee

Difusión por redes de intercambio de ficheros.

Zafi.D se copia en todos los directorios del equipo infectado cuyos nombres contengan las cadenas:

  • share
  • upolad
  • music
con los nombres:
  • winamp 5.7 new!.exe
  • ICQ 2005a new!.exe

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.
     
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria). 

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

     

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine el siguiente valor:

    "Wxp4" = "%System%\Norton Update.exe"

    bajo la clave del registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Elimne la siguiente clave junto con todo su contenido:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

  5. Reincie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados