El gusano Zafi.B aumenta su propagación en las últimas horas

Zafi.B busca antivirus y firewalls en los sistemas y sobrescribe sus ejecutables con una copia del gusano. El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB), resultado de que el autor haya comprimido el ejecutable original de 33.292 bytes con la utilidad FSG.

Su principal vía de distribución es el correo electrónico, si bien también se copia en todas las carpetas del sistema infectado cuyos nombres contengan las palabras “share” o “upload”, que pueden pertenecer a los directorios de archivos compartidos de algunas aplicaciones P2P. Los nombres que utiliza para intentar propagarse en las redes P2P son “winamp 7.0 full_install.exe” y “Total Commander 7.0 full_install.exe”.

La reacción de las diferentes casas antivirus en proporcionar la actualización a sus usuarios para detectar a Zafi.B fue la siguiente:

NOD32 10/06/2004 13:21:34 :: Win32/Zafi.B

Kaspersky 11/06/2004 04:34:56 :: I-Worm.Zafi.b

Panda 11/06/2004 15:02:10 :: W32/Zafi.B.worm

Symantec 11/06/2004 23:24:37 :: W32.Erkez.B@mm

En el momento de escribir estas líneas aun no detectan a Zafi.B las soluciones de BitDefender, eTrustAV, F-Prot, McAfee y TrendMicro, aunque se espera que en breve distribuyan las actualizaciones pertinentes. Si lo detectan Norman y Sybari, si bien estos motores aun no se encuentran monitorizados por el laboratorio de Hispasec para determinar el momento exacto en el que se produjo la actualización.

Cuando el gusano es ejecutado en un sistema, en primer lugar realiza una copia del mismo en el directorio de sistema (system32) de Windows con un nombre de archivo al azar y extensión .EXE o .DLL. A continuación introduce una entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”_Hazafibb”=%windir%System32[nombre al azar]

Crea varios archivos con extensión .DLL donde almacena todas las direcciones de correo que recopila del sistema infectado, los nombres de estos archivos pueden encontrarse en la siguiente entrada del registro de Windows:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft_Hazafibb

Zafi.B puede distribuirse por correo electrónico con varios asuntos y textos en el cuerpo del mensaje, así como en varios idiomas que utiliza según el dominio de la dirección de destino. De esta forma, por ejemplo, si la dirección finaliza en .it el gusano enviará el mensaje en italiano, y si lo hace en .ru lo hará en ruso.

A la hora de enviarse por e-mail, evita hacerlo a las direcciones que contengan algunos de los siguientes textos: win, use, info, help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend, panda, yaho, cafee, sopho, google y kasper.

Como efecto adicional, el gusano está programado para llevar un ataque distribuido de denegación de servicio contra varios sitios web de Hungría: www.2f.hu, www.parlament.hu, www.virusbuster.hu y www.virushirado.hu.

De la observación de los mensajes enviados a VirusTotal, los más repetidos suelen aparecer con el mismo texto en el campo Remite/De y en el Asunto, mientras que como cuerpo suelen incluir una sóla palabra, como por ejemplo “Surprise!” o “eBook!”.

Algunos ejemplos

A continuación otros ejemplos de mensajes en los que se distribuye Zabi.B.

Asunto: Ingyen SMS!

Adjunto: “regiszt.php?3124freesms.index777.pif”

Cuerpo:

– ———————- hirdet=E9s —————————–

A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra

indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan

korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.

K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt

regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5

B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de

siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes

nyerem=E9nyeket sorsolunk ki!

– ———————- axelero.hu —————————

Asunto: Importante!

Adjunto: “link.informacion.phpV23.text.message.pif”

Cuerpo:

Informacion importante que debes conocer, –

Asunto: Katya

Adjunto: “view.link.index.image.phpV23.sexHdg21.pif”

Asunto: E-Kort!

Adjunto: “link.ekort.index.phpV7ab4.kort.pif”

Cuerpo:

Mit hjerte banker for dig!

Asunto: Ecard!

Adjunto: “link.showcard.index.phpAv23.ritm.pif”

Cuerpo:

De cand te-am cunoscut inima mea are un nou ritm!

Asunto: E-vykort!

Adjunto: “link.vykort.showcard.index.phpBn23.pif”

Cuerpo:

Till min Alskade…

Asunto: E-Postkort!

Adjunto: “link.postkort.showcard.index.phpAe67.pif”

Cuerpo:

Vakre roser jeg sammenligner med deg…

Asunto: E-postikorti!

Adjunto: “link.postikorti.showcard.index.phpGz42.pif”

Cuerpo:

Iloista kesaa!

Asunto: Atviruka!

Adjunto: “link.atviruka.showcard.index.phpGz42.pif”

Cuerpo:

Linksmo gimtadieno! ha

Asunto: E-Kartki!

Adjunto: “link.kartki.showcard.index.phpVg42.pif”

Cuerpo:

W Dniu imienin…

Asunto: Cartoe Virtuais!

Adjunto: “link.cartoe.viewcard.index.phpYj39.pif”

Cuerpo:

Content: Te amo… ,

Asunto: Flashcard fuer Dich!

Adjunto: “link.flashcard.de.viewcard34.php.2672aB.pif”

Cuerpo:

Hallo! hat dir eine elektronische Flashcard geschickt. Um die

Flashcard ansehen zu koennen, benutze in deinem Browser einfach den

nun folgenden link:

http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34

Viel Spass beim Lesen wuenscht Ihnen ihr…

Asunto: Er staat een eCard voor u klaar!

Adjunto: “postkaarten.nl.link.viewcard.index.phpG4a62.pif”

Cuerpo:

Hallo! heeft u een eCard gestuurd via de website nederlandse taal in

het basisonderwijs… U kunt de kaart ophalen door de volgende url

aan te klikken of te kopiren in uw browser link:

http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke

groet, De redactie taalsite primair onderwijs…

Asunto: Elektronicka pohlednice!

Adjunto: “link.seznam.cz.pohlednice.index.php2Avf3.pif”

Cuerpo:

Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz –

Asunto: E-carte!

Adjunto: “link.zdnet.fr.ecarte.index.php34b31.pif”

Cuerpo:

vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez,

l’adresse suivante link: http://zdnet.fr/showcard.index.php34bs42

www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5

minutes, du dialogue en direct…

Asunto: Ti e stata inviata una Cartolina Virtuale!

Adjunto: “link.cartoline.it.viewcard.index.4g345a.pif”

Cuerpo:

Ciao! ha visitato il nostro sito, cartolina.it e ha creato una

cartolina virtuale per te! Per vederla devi fare click sul link

sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione,

la cartolina sara visibile sui nostri server per 2 giorni e poi verra

rimossa automaticamente.

Asunto: You`ve got 1 VoiceMessage!

Adjunto: “link.voicemessage.com.listen.index.php1Ab2c.pif”

Cuerpo:

Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com

website! Sender: You can listen your Virtual VoiceMessage at the

following link: http://virt.voicemessage.com/index.listen.php2=35affv

or by clicking the attached link. Send VoiceMessage! Try our new

virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

Asunto: Tessek mosolyogni!!!

Adjunto: “meztelen csajok fociznak.flash.jpg.pif”

Cuerpo:

Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

Asunto: Soxor Csok!

Adjunto: “anita.image043.jpg.pif”

Cuerpo:

Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem

tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l,

addig is cs=F3k: )l@

Asunto: Don`t worry, be happy!

Adjunto: “www.ecard.com.funny.picture.index.nude.php356.pif”

Cuerpo:

Hi Honey! I`m in hurry, but i still love ya… (as you can see on

the picture) Bye – Bye:

Asunto: Check this out kid!!!

Adjunto: “jennifer the wild girl xxx07.jpg.pif”

Cuerpo:

Send me back bro, when you`ll be done…(if you know what i mean…)

See ya,