|
Efectos:
Zafi.B realiza las siguientes acciones: Realiza ataques de Denegación de Servicio ( DoS) contra las siguientes páginas web: www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.huBusca directorios en los que se encuentren instalados programas antivirus. Si encuentra alguno, sobrescribe los archivos ejecutables con copias de sí mismo. De este modo, el usuario se encontrará desprotegido frente al ataque de otros malware, y cada vez que intente utilizar su antivirus, estará ejecutando inadvertidamente a Zafi.B. Busca procesos que contengan alguna de las siguientes cadenas de texto: msconfig, task y regedit. Si encuentra alguno, lo finaliza. De este modo, el usuario no podrá trabajar con el Administrador de tareas, el Registro de Windows, etc. Del mismo modo, también busca procesos que incluyan las cadenas virus o firewall, e intenta finalizarlos. De este modo, trata de terminar los procesos relacionados con programas antivirus y firewalls. Comprueba si hay disponible una conexión a Internet, intentando conectarse a las páginas web www.google.com o www.microsoft.com. Intenta abrir alguna de las páginas web almacenadas en la siguiente ruta del Registro de Windows, cada vez que es ejecutado:
HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ TypedURLs
Metodo de infección:
Zafi.B crea los siguientes archivos en el directorio de sistema de Windows: - Un archivo con nombre aleatorio y extensión EXE. Este archivo es una copia del gusano.
- Un archivo con nombre aleatorio y extensión DLL. Este archivo, que es una DLL (Librería de Enlace Dinámico), es una copia del gusano.
- Diez archivos con extensión DLL, que contienen direcciones de correo a las que Zafi.B enviará una copia de sí mismo.
Zafi.B crea las siguientes entradas en el Registro de Windows: - HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
_Hazafibb = %sysdir%\ %nombre%.exe
donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio del archivo creado por el gusano.
Mediante esta entrada, Zafi.B consigue ejecutarse cada vez que se inicia Windows. - Adicionalmente, también crea varias entradas con el siguiente patrón:
HKEY_LOCAL_MACHINE\ Software\ Microsoft\ _Hazafibb
%XX% = %valor%
donde %XX% son dos caracteres alfanuméricos (por ejemplo, b1, b2, b3, bA, cB, etc.), y %valor% es generalmente alguna de las DLLs creadas por Zafi.B, aunque también podría referirse a directorios de programas instalados, direcciones web o números.
Metodo de propagación:
Zafi.B se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P). 1.- Propagación a través del correo electrónico. Zafi.B realiza el siguiente proceso: Llega al ordenador en un mensaje de correo electrónico de características variables. Dicho mensaje puede estar escrito en distintos idiomas, dependiendo del dominio del receptor:
at (Austria), cz (República Checa), de (Alemania), dk (Dinamarca), fi (Finlandia), fr (Francia), hu (Hungría), it (Italia), lt (Liechtenstein), mx (Méjico), nl (Holanda), no (Noruega), pl (Polonia), pt (Portugal), ro (Rumania), ru (Rusia), se (Suecia), sp (España).
En los casos no contemplados en esta lista, el mensaje estará escrito en inglés.
Mensaje 1:
Remitente:
Anita
Asunto:
Ingyen SMS!
Contenido:
--------------------- hirdetés --------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet
felhasználni. Küldj te is SMST! Nehány kattintás és a
mellékelt regisztrációs lap kitöltése után azonnal
igénybevehet?! B?vebb információt a www .777sms .hu
oldalon találsz, de siess, mert az els? ezer
felhasználó között értékes nyereményeket sorsolunk ki!
--------------------- axelero.hu ------------------------
Archivo adjunto:
REGISZT.PHP?3124FREESMS.INDEX777.PIF
Mensaje 2:
Remitente:
Claudia
Asunto:
Importante!
Contenido:
Informacion importante que debes conocer, -
Archivo adjunto:
LINK.INFORMACION.PHPV23.TEXT.MESSAGE.PIF
Mensaje 3:
Remitente:
Katya
Asunto:
oKatya
Contenido:
ADAOIU
OEIE
Archivo adjunto:
VIEW.LINK.INDEX.IMAGE.PHPV23.SEXHDG21.PIF
Mensaje 4:
Remitente:
.
Asunto:
E-Kort!
Contenido:
Mit hjerte banker for dig!
Archivo adjunto:
LINK.EKORT.INDEX.PHPV7AB4.KORT.PIF
Mensaje 5:
Remitente:
Marica
Asunto:
Ecard!
Contenido:
De cand te-am cunoscut inima mea are un nou ritm!
Archivo adjunto:
LINK.SHOWCARD.INDEX.PHPAV23.RITM.PIF
Mensaje 6:
Remitente:
Anna
Asunto:
E-vykort!
Contenido:
Till min Alskade...
Archivo adjunto:
LINK.VYKORT.SHOWCARD.INDEX.PHPBN23.PIF
Mensaje 7:
Remitente:
Erica
Asunto:
E-Postkort!
Contenido:
Vakre roser jeg sammenligner med deg...
Archivo adjunto:
LINK.POSTKORT.SHOWCARD.INDEX.PHPAE67.PIF
Mensaje 8:
Remitente:
Katarina
Asunto:
E-postikorti!
Contenido:
Iloista kesaa!
Archivo adjunto:
LINK.POSTIKORTI.SHOWCARD.INDEX.PHPGZ42.PIF
Mensaje 9:
Remitente:
Magdolina
Asunto:
Atviruka!
Contenido:
Linksmo gimtadieno!
Archivo adjunto:
LINK.ATVIRUKA.SHOWCARD.INDEX.PHPGZ42.PIF
Mensaje 10:
Remitente:
Beate
Asunto:
E-Kartki!
Contenido:
W Dniu imienin...
Archivo adjunto:
LINK.KARTKI.SHOWCARD.INDEX.PHPVG42.PIF
Mensaje 11:
Remitente:
@
Asunto:
Cartoe Virtuais!
Contenido:
Te amo...
Archivo adjunto:
LINK.CARTOE.VIEWCARD.INDEX.PHPYJ39.PIF
Mensaje 12:
Remitente:
Alice
Asunto:
Flashcard fuer Dich!
Contenido:
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in
deinem Browser einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
Archivo adjunto:
LINK.FLASHCARD.DE.VIEWCARD34.PHP.2672AB.PIF
Mensaje 13:
Remitente: está vacío.
Asunto:
Er staat een eCard voor u klaar!
Contenido:
Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te
klikken of te kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...
Archivo adjunto:
POSTKAARTEN.NL.LINK.VIEWCARD.INDEX.PHPG4A62.PIF
Mensaje 14:
Remitente:
Hanka
Asunto:
Elektronicka pohlednice!
Contenido:
Ahoj!
Elektronick pohlednice ze serveru
http://www.seznam.cz
Archivo adjunto:
LINK.SEZNAM.CZ.POHLEDNICE.INDEX.PHP2AVF3.PIF
Mensaje 15:
Remitente:
Claudine
Asunto:
E-carte!
Contenido:
vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l"adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos
pages web en 5 minutes, du dialogue en direct...
Archivo adjunto:
LINK.ZDNET.FR.ECARTE.INDEX.PHP34B31.PIF
Mensaje 16:
Remitente:
Francesca
Asunto:
Ti e stata inviata una Cartolina Virtuale!
Contenido:
Ciao!
ha visitato il nostro sito, cartolina.it e ha creato
una cartolina virtuale per te! Per vederla devi fare
click sul link sottostante:
http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server
per 2 giorni e poi verra rimossa automaticamente.
Archivo adjunto:
LINK.CARTOLINE.IT.VIEWCARD.INDEX.4G345A.PIF
Mensaje 17:
Remitente:
Jennifer
Asunto:
You`ve got 1 VoiceMessage!
Contenido:
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com
website! You can listen your Virtual VoiceMessage at
the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage
Empire!
Best regards: SNAF.Team (R).
Archivo adjunto:
LINK.VOICEMESSAGE.COM.LISTEN.INDEX.PHP1AB2C.PIF
Mensaje 18:
Remitente:
Anita
Asunto:
Tessek mosolyogni!!!
Contenido:
Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:
Archivo adjunto:
MEZTELEN CSAJOK FOCIZNAK.FLASH.JPG.PIF
Mensaje 19:
Remitente:
Anita
Asunto:
Soxor Csok!
Contenido:
Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók:
Archivo adjunto:
ANITA.IMAGE043.JPG.PIF
Mensaje 20:
Remitente:
Jennifer
Asunto:
Don`t worry, be happy!
Contenido:
Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:
Archivo adjunto:
WWW.ECARD.COM.FUNNY.PICTURE.INDEX.NUDE.PHP356.PIF
Mensaje 21:
Remitente:
David
Asunto:
Check this out kid!!!
Contenido:
Send me back bro, when you`ll be done...(if you
know what i mean...)
See ya, David
Archivo adjunto:
JENNIFER THE WILD GIRL XXX07.JPG.PIF
Nota: en algunos casos, el archivo adjunto será alguno de los siguientes: SURPRISE.COM, SURPRISE.EXE o SURPRISE.PIF.
- El ordenador es afectado cuando el archivo adjunto es ejecutado.
- Zafi.B busca direcciones de correo en todos los archivos que tengan alguna de las siguientes extensiones: ADB, ASP, DBX, EML, HTM, MBX, PHP, PMR, SHT, TBB, TXT y WAB.
- Zafi.B envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win y yaho.
2.- Propagación a través de programas P2P. Zafi.B realiza el siguiente proceso: - Crea copias de sí mismo en directorios que contengan alguna de las siguientes cadenas de texto: share y upload.
De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de ficheros. - Realiza copias de sí mismo con los siguientes nombres de archivo:
Total Commander 7.0 full_install.exe
winamp 7.0 full_install.exe - Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Zafi.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
- Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Zafi.B.
Otros detalles:
Zafi.B tiene un tamaño de 12800 Bytes, y está comprimido. Cuando se propaga a otros ordenadores, Zafi.B cambia su fecha de compilación, lo que le otorga cierta capacidad de polimorfismo, con el fin de dificultar su detección. |
