Según las estadísticas de VirusTotal, el gusano Zafi.B busca antivirus y firewalls en los sistemas y sobrescribe sus ejecutables con una copia del gusano. El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB), resultado de que el autor haya comprimido el ejecutable original de 33.292 bytes con la utilidad FSG.
Su principal vía de distribución es el correo electrónico, si bien también se copia en todas las carpetas del sistema infectado cuyos nombres contengan las palabras “share” o “upload”, que pueden pertenecer a los directorios de archivos compartidos de algunas aplicaciones P2P. Los nombres que utiliza para intentar propagarse en las redes P2P son “winamp 7.0 full_install.exe” y “Total Commander 7.0 full_install.exe”.
Cuando el gusano es ejecutado en un sistema, en primer lugar realiza una copia del mismo en el directorio de sistema (system32) de Windows con un nombre de archivo al azar y extensión .EXE o .DLL. A continuación introduce una entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “_Hazafibb”=%windir%System32[nombre al azar]
Crea varios archivos con extensión .DLL donde almacena todas las direcciones de correo que recopila del sistema infectado, los nombres de estos archivos pueden encontrarse en la siguiente entrada del registro de Windows: HKEY_LOCAL_MACHINESOFTWAREMicrosoft_Hazafibb
Zafi.B puede distribuirse por correo electrónico con varios asuntos y textos en el cuerpo del mensaje, así como en varios idiomas que utiliza según el dominio de la dirección de destino. De esta forma, por ejemplo, si la dirección finaliza en .it el gusano enviará el mensaje en italiano, y si lo hace en .ru lo hará en ruso.
A la hora de enviarse por e-mail, evita hacerlo a las direcciones que contengan algunos de los siguientes textos: win, use, info, help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend, panda, yaho, cafee, sopho, google y kasper.
Como efecto adicional, el gusano está programado para llevar un ataque distribuido de denegación de servicio contra varios sitios web de Hungría: www.2f.hu, www.parlament.hu, www.virusbuster.hu y www.virushirado.hu.
De la observación de los mensajes enviados a VirusTotal, los más repetidos suelen aparecer con el mismo texto en el campo Remite/De y en el Asunto, mientras que como cuerpo suelen incluir una sóla palabra, como por ejemplo “Surprise!” o “eBook!”.
Además de fakes news, en internet encontramos múltiples formas de desinformación: clonación de medios de…
Sin las medidas de protección necesarias, un almacén puede convertirse en el eslabón más débil…
Adyen publica los resultados de su estudio "Estrategias para reducir el coste total de pagos",…
Del porcentaje global del 21 % se baja a un 18 % en el caso…
Entrevistamos a John Shier, CTO Field de Sophos, que hace repaso de las principales amenazas…
Desde fibratel comparten una serie de pautas para orientar la construcción de centros de datos…