Menú

  Buscar
Google

  En:
WWW
LatinoSeguridad

  Importante
  Alerta de virus

Worm-Backdoor.W32/Zafi.E@P2P+MM

Alias:
WORM_ZAFI.E (Trend Micro), W32.Erkez.F@mm (Symantec), I.worm.zafi.E@mm (Kaspersky (viruslist.com)), W32/Erkez.F@mm (Sophos), Email-Worm.Win32.Zafi.e (ClamAV), W32/Zafi.E@mm (Otros), W32/Zafi-E (Sophos)

Descripción:

Este gusano se propaga como adjunto por correo electrónico y también por recursos compartidos en redes (redes P2P, etc.)

También intenta deshabilitar conocidos antivirus y cortafuegos.

El correo electrónico que envía, utiliza mensajes en varios idiomas, entre ellos español, con los que intenta engañar al usuario para descargar una tarjeta postal.

Detalles:

Instalación

Descarga copias de sí mismo en la carpeta del sistema de Windows con nombres compuestos de la siguiente forma:

  • {Nombre de Antivirus}-{5 Números aleatorios}.EXE
  • {11 números aleatorios}Z.DLL.

Donde {Nombre de Antivirus} será uno de los siguientes:

  • Kaspersky
  • McAfee
  • Panda
  • Sophos
  • Symantec
  • Trend 

El gusano crea la siguiente entrada en el registgro para iniciarse junto al arranque de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
__ZF5 = "%System%\SYMANTEC_UPDATE-[6 números aleatorios].EXE"

(Nota: %System% representa la carpeta del sistema de Windows. Por defecto será: C:\Windows\System en Windows 98 y ME, C:\WINNT\System32 en Windows NT y 2000, o C:\Windows\System32 en Windows XP y 2003.)

También crea la siguiente entrada en el registro para recopilar información sobre sus propias actividades:

HKEY_LOCAL_MACHINE\Software\Microsoft\__ZF5

Intenta impedir la ejecución de aquellos procesos que contengan las siguientes cadenas de texto:

  • reged
  • msconfig
  • task

También intentará detener la ejecución de los siguientes procesos si se encuentran activos:

  • nmain.exe
  • Luall.exe
  • nod32.exe
  • gcasDtServ.exe
  • nod32krn.exe
  • nod32kui.exe
  • AVLTMAIN.EXE
  • MRT.exe
  • gcasServ.exe
  • avginet.exe
  • inetupd.exe
  • fpavupdm.exe
  • Updater.exe
  • pcclient.exe
  • F-StopW.exe
  • drwebupw.exe
  • QH32.EXE
  • QHM32.EXE
  • LIVEUP.exe
  • savmain.exe
  • savprogess.exe
  • nod32.exe
  • bdmcon.exe
  • bdlite.exe
  • McUpdate.exe
  • mcmnhdlr.exe
  • VBInstTmp.exe
  • vbcmserv.exe
  • vbcons.exe
  • fspex.exe 

El gusano crea un mutex para impedir que se ejecute mas de una instancia de si mismo de forma concurrente:

__ZF5

Propagación P2P

El gusano se propaga dejando copias de sí mismo en las carpetas compartidas de algunos programas P2P:

Nombres de ficheros:

  • ADOBE ACROBAT 8.0.EXE
  • DIVX PLAYER 7.0.EXE

Carpetas que contengan las siguientes cadenas:

  • music
  • share
  • startup
  • upload 

Propagación por correo

El gusano utiliza su propio motor de envio SMTP para enviar mensajes con las siguientes características:

Remitente: Alguno de los siguientes:

  • Anna Birketveit
  • Beate Kohler
  • Claude Marie Sarden
  • Claudia Enferma
  • Hana Bejlkova
  • Katerina Bersankova
  • Monica Lembar
  • Nagy Melinda
  • Suzanne Bolder
  • Veronica Morrentino 

Asunto: alguno de los siguientes:

  • Electronisch Star Wars,E-kaartje
  • e-pohlednice,Elektronickou Star Wars
  • e-postkarte,Star Wars
  • e-udvozlet,megasztar
  • Greeting from neptun.ru,MSN.RU Postcard
  • Has recibido una tarjeta en neptun.mx,e-tarjeta
  • Star Wars Greeting,MSN Postcard
  • Star Wars, e-kort
  • Una Star Wars cartolina per te da regione.it,Cartolina Digitale
  • Une Star Wars carte pour vous,Confidental 

Meensaje: Alguno de los siguientes:

  • udvozlolap 
    Kedves Felhaszn=E1l=F3 
    elektronikus =FCdv=F6zl=F5lapot k=FCld=F6tt =D6nnek! 
    Megtekint=E9s=E9hez kattintson a mell=E9kelt k=E9p hivatkoz=E1s=E1ra, vagy m=E1solja be 
    a b=F6ng=E9sz=F5 (Internet Explorer, Netscape Navigator, Mozilla, stb.) c=EDmsor=E1ba! 
    @#A m=E1r k=E9zbes=EDtett lapokat 3 h=E9tig =F5rizz=FCk meg! 
    @http://www.tv2.hu 
  • tarjeta 
    ~=A1Hola 
    Hay una tarjeta disponible en Neptun.mx de parte de . 
    Para verla, hacer click en el siguiente enlace: 
    Te recordamos que si eres Gusuario Premium tu tarjeta estar=E1 
    disponible 
    en todo momento durante la vigencia de tu membres=EDa; si no lo eres, 
    estar=E1 disponible dos semanas a partir de la fecha en que la env=EDes. 
  • postcard
    =D0=97=D0=B4=D1=80=D0=B0=D0=B2=D1=81=D1=82=D0=
    B2=D1=83=D0=B9=D1=82=D0=B5,=D0=92=D0=B0=D0=BC=
    D0=BF=D1=80=D0=B8=D1=88=D0=BB=D0=B0==D0=BE=D1=
    82=D0=BA=D1=80=D1=8B=D1=82=D0=BA=D0=B0!=D0=92=
    D1=8B =D0=BC=D0=BE=D0=B6=D0=B5=D1=82=D0=B5=
    =D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B8=D1=82=D1
    =8C =D0=B5=D0=B5 ==D0=BF=D0=BE=D0=B0=D0=B4=D1
    =80=D0=B5=D1=81=D1=83@#=D0=9A=D0=BE=D0=B4=D0
    =B4=D0=BB=D1=8F==D0=BF=D0=BE=D0=BB=D1=83=D1=87
    =D0=B5=D0=BD=D0=B8=D1=8F==D0=BE=D1=82=D0=BA=D1
    =80=D1=8B=D1=82=D0=BA=D0=B8=10025412=D0=9E=D1=
    82=D0=BA=D1=80=D1=8B=D1=82=D0=BA=D0=B0==D0=BC
    =D0=BE=D0=B6=D0=B5=D1=82 =D0=B1=D1=8B=D1=82=D1
    =8C==D0=BF=D0=BE=D0=BB=D1=83=D1=87=D0=B5=D0=BD
    =D0=B0==D0=BB=D1=8E=D0=B1=D1=8B=D0=BC==D0=B3=D1
    =80=D0=B0=D1=84=D0=B8=D1=87=D0=B5=D1=81=D0=BA=
    D0=B8=D0=BC==D0=B1=D1=80=D0=B0=D1=83=D0=B7=D0=
    B5=D1=80=D0=BE=D0=BC=D0=B2==D1=82=D0=B5=D1=87=
    D0=B5=D0=BD=D0=B8=D0=B5 1==D0=BC=D0=B5=D1=81=
    D1=8F=D1=86=D0=B0 =D1=81==D0=BC=D0=BE=D0=BC=D0=
    B5=D0=BD=D1=82=D0=B0==D0=BF=D0=BE=D0=BB=D1=83
    =D1=87=D0=B5=D0=BD=D0=B8=D1=8F==D1=8D=D1=82=D0
    =BE=D0=B3=D0=BE==D1=81=D0=BE=D0=BE=D0=B1=D1=89
    =D0=B5=D0=BD=D0=B8=D1=8F.
  • pohlednic 
    ~Dobr=FD den 
    Dost=E1v=E1te tento email, proto=9Ee V=E1m , 
    poslal(a) elektronickou 
    star wars 
    pohlednici. Va=9Ae pohlednice je ulo=9Eena na 
    serveru centrum.cz a m=F9=9Eete si ji vyzvednout na adrese: 
    @# Tuto pohlednici budeme archivovat po dobu 30-ti dn=F9. Douf=E1me, =9Ee se V=E1m 
    bude l=EDbit. :-) 
    Nejvetsi vyber plakatu na @http://www.{blocked}centrum.cz 
  • Hello 
    har send eit kort til deg. 
    Du kan henta kortet ditt p=E5 
    @# og skriva inn kortnummer 214 og passord 5016. 
  • grusskarte 
    ~Hallo 
    hat Ihnen eine Star Wars Postkarte geschickt! 
    Ihre Postkarte wurde am 10.09.2005 versendet und ist f=FCr 10 Tage gespeichert. 
    Sie k=F6nnen Sie unter folgender URL ansehen: 
    @#Mit freundlichen Gr=FC=DFen, 
    Free eCards - Grusskarte senden - send a free eCard 
    Powered by @http://www.deu{blocked}tschepost.de 
  • galerij 
    ~Hallo 
    Je hebt een electronisch kaartje ontvangen van 
    Je kunt je persoonlijke kaartje bekijken door naar het 
    volgende internet adreste gaan: 
    We hebben vele 100-en kaartjes in allerlei categori=EBn. 
    Natuurlijk kan ook jij een kaartje sturen, ga naar 
    @http://www.fon{blocked}ztv.nl 
  • carte 
    ~Bonjour 
    a cr=E9e une 'star wars' carte specialement pour vous, et vous l'a envoy=E9e le 10/09/05.
    La carte sera sauvgard=E9e pendant 10 jours. Veuillez la recup=E9rer dans les 10 jours 
    avant qu'elle expire. Cliquer sur ce lien pour voir votre e-carte: 
    @#Alternativement vous pouvez lui envoyer une autre carte gratuitement sur 
    @www.smart{blocked}web.fr 
  • ~Ciao 
    ti ha inviato una cartolina digitale dal nostro sito. 
    Per visualizzare la cartolina =E8 sufficiente cliccare questo link: 
    @#Nel caso dovessi avere problemi nel visualizzare la tua cartolina, pu=F2 
    essere che i giorni a disposizione siano scaduti, =E8 comunque possibile 
    fare una prova a questo indirizzo: @www.reg{blocked}ione.it 
  • greeting 
    ~Hi there 
    There's a star wars postcard waiting for you, from . 
    Just click the link below to pick up your personal message: 
    @#(If you cannot view the image by clicking on the link, copy and paste 
    the attachment picture into your browser). 
    Best regards: @http://www.jed{blocked}inet.com 

Adjunto: los ficheros adjuntos tendrán nombres variables y alguna de las siguientes extensiones:

  • CMD
  • COM
  • PIF
  • SCR 

las direcciones de envío serán recopiladas desde ficheros de los siguietnes tipos:

  • ADB
  • ASP
  • DBX
  • EML
  • FPT
  • HTM
  • INB
  • MBX
  • PHP
  • PMR
  • SHT
  • TBB
  • TXT
  • WAB 

Intentará evitar el envío a aquellas direcciones que contengan alguna de las siguientes cadenas de texto:

  • admi
  • google
  • help
  • hotm
  • info
  • micro
  • msn
  • sale
  • service
  • soft.
  • suppor
  • webm
  • zonela 

Solución:

  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus Gratuitos. Repare o borre el fichero infectado.

    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).

    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    * ADOBE ACROBAT 8.0.EXE
    * DIVX PLAYER 7.0.EXE
    * %System%\{Nombre de Antivirus}-{5 Números aleatorios}.EXE
    * %System%\{11 números aleatorios}Z.DLL.

    Donde {Nombre de Antivirus} será uno de los siguientes:

    * Kaspersky
    * McAfee
    * Panda
    * Sophos
    * Symantec
    * Trend 

  3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña 'Procesos' haga clic derecho en el proceso y seleccione 'Terminar Proceso'. A continuación vuelva a intentar el borrado o reparación del fichero.

  4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine las siguientes entradas del registro:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    __ZF5 = "%System%\SYMANTEC_UPDATE-[6 números aleatorios].EXE"

    HKEY_LOCAL_MACHINE\Software\Microsoft\__ZF5

  5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

También puede utilizar para la reparación de los daños producidos por acción de Zotob, las siguientes herramientas específicas ofrecidas por algunos fabricantes de antivirus:

  • Panda Software - pulsar sobre Zotob.-versión- y registrarse para la descarga (si no lo ha hecho antes).
  • Symantec - descargar el fichero FixZotob.exe.
  • McAfee - descargar el fichero Stinger.exe.
  • Nod32 - descargar la herramienta de Zotob.A-C (ZTBCLEAN.ZIP).
  • Trend Micro - descargar el fichero sysclean.com y seguir los pasos indicados.

Más Información sobre este virus en:

Fuente: red.es
 

Webmaster: 

webmaster@latinoseguridad.com

Ventas: 

joseluis@latinoseguridad.com

Sugerencias 

joseluis@latinoseguridad.com

Grupo Corporativo Diamante | Copyright © 2000 - 2003 | Todos los derechos reservados