Según las estadísticas de VirusTotal (http://www.virustotal.com), el
gusano Zafi.B, también denominado Erkez.B, ha obtenido un aumento
significativo en su propagación durante las últimas 24 horas. Zafi.B
busca antivirus y firewalls en los sistemas y sobrescribe sus
ejecutables con una copia del gusano.
El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB),
resultado de que el autor haya comprimido el ejecutable original de
33.292 bytes con la utilidad FSG.
Su principal vía de distribución es el correo electrónico, si bien
también se copia en todas las carpetas del sistema infectado cuyos
nombres contengan las palabras «share» o «upload», que pueden
pertenecer a los directorios de archivos compartidos de algunas
aplicaciones P2P. Los nombres que utiliza para intentar propagarse
en las redes P2P son «winamp 7.0 full_install.exe» y «Total Commander
7.0 full_install.exe».
La reacción de las diferentes casas antivirus en proporcionar la
actualización a sus usuarios para detectar a Zafi.B fue la siguiente:
NOD32 10/06/2004 13:21:34 :: Win32/Zafi.B
Kaspersky 11/06/2004 04:34:56 :: I-Worm.Zafi.b
Panda 11/06/2004 15:02:10 :: W32/Zafi.B.worm
Symantec 11/06/2004 23:24:37 :: W32.Erkez.B@mm
En el momento de escribir estas líneas aun no detectan a Zafi.B las
soluciones de BitDefender, eTrustAV, F-Prot, McAfee y TrendMicro,
aunque se espera que en breve distribuyan las actualizaciones
pertinentes. Si lo detectan Norman y Sybari, si bien estos motores
aun no se encuentran monitorizados por el laboratorio de Hispasec
para determinar el momento exacto en el que se produjo la
actualización.
Cuando el gusano es ejecutado en un sistema, en primer lugar realiza
una copia del mismo en el directorio de sistema (system32) de Windows
con un nombre de archivo al azar y extensión .EXE o .DLL. A
continuación introduce una entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«_Hazafibb»=%windir%\System32\[nombre al azar]
Crea varios archivos con extensión .DLL donde almacena todas las
direcciones de correo que recopila del sistema infectado, los
nombres de estos archivos pueden encontrarse en la siguiente entrada
del registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb
Zafi.B puede distribuirse por correo electrónico con varios asuntos
y textos en el cuerpo del mensaje, así como en varios idiomas que
utiliza según el dominio de la dirección de destino. De esta forma,
por ejemplo, si la dirección finaliza en .it el gusano enviará el
mensaje en italiano, y si lo hace en .ru lo hará en ruso.
A la hora de enviarse por e-mail, evita hacerlo a las direcciones
que contengan algunos de los siguientes textos: win, use, info,
help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend,
panda, yaho, cafee, sopho, google y kasper.
Como efecto adicional, el gusano está programado para llevar un
ataque distribuido de denegación de servicio contra varios sitios
web de Hungría: http://www.2f.hu, http://www.parlament.hu, http://www.virusbuster.hu y
http://www.virushirado.hu.
De la observación de los mensajes enviados a VirusTotal, los más
repetidos suelen aparecer con el mismo texto en el campo Remite/De
y en el Asunto, mientras que como cuerpo suelen incluir una sóla
palabra, como por ejemplo «Surprise!» o «eBook!».
A continuación otros ejemplos de mensajes en los que se distribuye
Zabi.B.
Asunto: Ingyen SMS!
Adjunto: «regiszt.php?3124freesms.index777.pif»
Cuerpo:
– ———————- hirdet=E9s —————————–
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt
regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!
B=F5vebb inform=E1ci=F3t a http://www.777sms.hu oldalon tal=E1lsz, de
siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes
nyerem=E9nyeket sorsolunk ki!
– ———————- axelero.hu —————————
Asunto: Importante!
Adjunto: «link.informacion.phpV23.text.message.pif»
Cuerpo:
Informacion importante que debes conocer, –
Asunto: Katya
Adjunto: «view.link.index.image.phpV23.sexHdg21.pif»
Asunto: E-Kort!
Adjunto: «link.ekort.index.phpV7ab4.kort.pif»
Cuerpo:
Mit hjerte banker for dig!
Asunto: Ecard!
Adjunto: «link.showcard.index.phpAv23.ritm.pif»
Cuerpo:
De cand te-am cunoscut inima mea are un nou ritm!
Asunto: E-vykort!
Adjunto: «link.vykort.showcard.index.phpBn23.pif»
Cuerpo:
Till min Alskade…
Asunto: E-Postkort!
Adjunto: «link.postkort.showcard.index.phpAe67.pif»
Cuerpo:
Vakre roser jeg sammenligner med deg…
Asunto: E-postikorti!
Adjunto: «link.postikorti.showcard.index.phpGz42.pif»
Cuerpo:
Iloista kesaa!
Asunto: Atviruka!
Adjunto: «link.atviruka.showcard.index.phpGz42.pif»
Cuerpo:
Linksmo gimtadieno! ha
Asunto: E-Kartki!
Adjunto: «link.kartki.showcard.index.phpVg42.pif»
Cuerpo:
W Dniu imienin…
Asunto: Cartoe Virtuais!
Adjunto: «link.cartoe.viewcard.index.phpYj39.pif»
Cuerpo:
Content: Te amo… ,
Asunto: Flashcard fuer Dich!
Adjunto: «link.flashcard.de.viewcard34.php.2672aB.pif»
Cuerpo:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die
Flashcard ansehen zu koennen, benutze in deinem Browser einfach den
nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr…
Asunto: Er staat een eCard voor u klaar!
Adjunto: «postkaarten.nl.link.viewcard.index.phpG4a62.pif»
Cuerpo:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in
het basisonderwijs… U kunt de kaart ophalen door de volgende url
aan te klikken of te kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke
groet, De redactie taalsite primair onderwijs…
Asunto: Elektronicka pohlednice!
Adjunto: «link.seznam.cz.pohlednice.index.php2Avf3.pif»
Cuerpo:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz –
Asunto: E-carte!
Adjunto: «link.zdnet.fr.ecarte.index.php34b31.pif»
Cuerpo:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez,
l’adresse suivante link: http://zdnet.fr/showcard.index.php34bs42
http://www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5
minutes, du dialogue en direct…
Asunto: Ti e stata inviata una Cartolina Virtuale!
Adjunto: «link.cartoline.it.viewcard.index.4g345a.pif»
Cuerpo:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click sul link
sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione,
la cartolina sara visibile sui nostri server per 2 giorni e poi verra
rimossa automaticamente.
Asunto: You`ve got 1 VoiceMessage!
Adjunto: «link.voicemessage.com.listen.index.php1Ab2c.pif»
Cuerpo:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com
website! Sender: You can listen your Virtual VoiceMessage at the
following link: http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link. Send VoiceMessage! Try our new
virtual VoiceMessage Empire! Best regards: SNAF.Team (R).
Asunto: Tessek mosolyogni!!!
Adjunto: «meztelen csajok fociznak.flash.jpg.pif»
Cuerpo:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:
Asunto: Soxor Csok!
Adjunto: «anita.image043.jpg.pif»
Cuerpo:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem
tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l,
addig is cs=F3k: )l@
Asunto: Don`t worry, be happy!
Adjunto: «www.ecard.com.funny.picture.index.nude.php356.pif»
Cuerpo:
Hi Honey! I`m in hurry, but i still love ya… (as you can see on
the picture) Bye – Bye:
Asunto: Check this out kid!!!
Adjunto: «jennifer the wild girl xxx07.jpg.pif»
Cuerpo:
Send me back bro, when you`ll be done…(if you know what i mean…)
See ya,
bernardo@hispasec.com
Más información:
W32/Zafi.b@MM
http://vil.nai.com/vil/content/v_126242.htm
Zafi.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=48433
W32.Erkez.B@mm
http://www.sarc.com/avcenter/venc/data/w32.erkez.b@mm.html
I-Worm.Zafi.b
http://www.viruslist.com/eng/viruslist.html?id=1666973
Deja una respuesta