• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / El gusano Zafi.B aumenta su propagación en las últimas horas

El gusano Zafi.B aumenta su propagación en las últimas horas

12 junio, 2004 Por Hispasec Deja un comentario

Según las estadísticas de VirusTotal (http://www.virustotal.com), el
gusano Zafi.B, también denominado Erkez.B, ha obtenido un aumento
significativo en su propagación durante las últimas 24 horas. Zafi.B
busca antivirus y firewalls en los sistemas y sobrescribe sus
ejecutables con una copia del gusano.

El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB),
resultado de que el autor haya comprimido el ejecutable original de
33.292 bytes con la utilidad FSG.

Su principal vía de distribución es el correo electrónico, si bien
también se copia en todas las carpetas del sistema infectado cuyos
nombres contengan las palabras «share» o «upload», que pueden
pertenecer a los directorios de archivos compartidos de algunas
aplicaciones P2P. Los nombres que utiliza para intentar propagarse
en las redes P2P son «winamp 7.0 full_install.exe» y «Total Commander
7.0 full_install.exe».

La reacción de las diferentes casas antivirus en proporcionar la
actualización a sus usuarios para detectar a Zafi.B fue la siguiente:

NOD32 10/06/2004 13:21:34 :: Win32/Zafi.B
Kaspersky 11/06/2004 04:34:56 :: I-Worm.Zafi.b
Panda 11/06/2004 15:02:10 :: W32/Zafi.B.worm
Symantec 11/06/2004 23:24:37 :: W32.Erkez.B@mm

En el momento de escribir estas líneas aun no detectan a Zafi.B las
soluciones de BitDefender, eTrustAV, F-Prot, McAfee y TrendMicro,
aunque se espera que en breve distribuyan las actualizaciones
pertinentes. Si lo detectan Norman y Sybari, si bien estos motores
aun no se encuentran monitorizados por el laboratorio de Hispasec
para determinar el momento exacto en el que se produjo la
actualización.

Cuando el gusano es ejecutado en un sistema, en primer lugar realiza
una copia del mismo en el directorio de sistema (system32) de Windows
con un nombre de archivo al azar y extensión .EXE o .DLL. A
continuación introduce una entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
«_Hazafibb»=%windir%\System32\[nombre al azar]

Crea varios archivos con extensión .DLL donde almacena todas las
direcciones de correo que recopila del sistema infectado, los
nombres de estos archivos pueden encontrarse en la siguiente entrada
del registro de Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

Zafi.B puede distribuirse por correo electrónico con varios asuntos
y textos en el cuerpo del mensaje, así como en varios idiomas que
utiliza según el dominio de la dirección de destino. De esta forma,
por ejemplo, si la dirección finaliza en .it el gusano enviará el
mensaje en italiano, y si lo hace en .ru lo hará en ruso.

A la hora de enviarse por e-mail, evita hacerlo a las direcciones
que contengan algunos de los siguientes textos: win, use, info,
help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend,
panda, yaho, cafee, sopho, google y kasper.

Como efecto adicional, el gusano está programado para llevar un
ataque distribuido de denegación de servicio contra varios sitios
web de Hungría: http://www.2f.hu, http://www.parlament.hu, http://www.virusbuster.hu y
http://www.virushirado.hu.

De la observación de los mensajes enviados a VirusTotal, los más
repetidos suelen aparecer con el mismo texto en el campo Remite/De
y en el Asunto, mientras que como cuerpo suelen incluir una sóla
palabra, como por ejemplo «Surprise!» o «eBook!».

A continuación otros ejemplos de mensajes en los que se distribuye
Zabi.B.

Asunto: Ingyen SMS!
Adjunto: «regiszt.php?3124freesms.index777.pif»
Cuerpo:
– ———————- hirdet=E9s —————————–
A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra
indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan
korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni.
K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt
regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5!
B=F5vebb inform=E1ci=F3t a http://www.777sms.hu oldalon tal=E1lsz, de
siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes
nyerem=E9nyeket sorsolunk ki!
– ———————- axelero.hu —————————

Asunto: Importante!
Adjunto: «link.informacion.phpV23.text.message.pif»
Cuerpo:
Informacion importante que debes conocer, –

Asunto: Katya
Adjunto: «view.link.index.image.phpV23.sexHdg21.pif»

Asunto: E-Kort!
Adjunto: «link.ekort.index.phpV7ab4.kort.pif»
Cuerpo:
Mit hjerte banker for dig!

Asunto: Ecard!
Adjunto: «link.showcard.index.phpAv23.ritm.pif»
Cuerpo:
De cand te-am cunoscut inima mea are un nou ritm!

Asunto: E-vykort!
Adjunto: «link.vykort.showcard.index.phpBn23.pif»
Cuerpo:
Till min Alskade…

Asunto: E-Postkort!
Adjunto: «link.postkort.showcard.index.phpAe67.pif»
Cuerpo:
Vakre roser jeg sammenligner med deg…

Asunto: E-postikorti!
Adjunto: «link.postikorti.showcard.index.phpGz42.pif»
Cuerpo:
Iloista kesaa!

Asunto: Atviruka!
Adjunto: «link.atviruka.showcard.index.phpGz42.pif»
Cuerpo:
Linksmo gimtadieno! ha

Asunto: E-Kartki!
Adjunto: «link.kartki.showcard.index.phpVg42.pif»
Cuerpo:
W Dniu imienin…

Asunto: Cartoe Virtuais!
Adjunto: «link.cartoe.viewcard.index.phpYj39.pif»
Cuerpo:
Content: Te amo… ,

Asunto: Flashcard fuer Dich!
Adjunto: «link.flashcard.de.viewcard34.php.2672aB.pif»
Cuerpo:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die
Flashcard ansehen zu koennen, benutze in deinem Browser einfach den
nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr…

Asunto: Er staat een eCard voor u klaar!
Adjunto: «postkaarten.nl.link.viewcard.index.phpG4a62.pif»
Cuerpo:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in
het basisonderwijs… U kunt de kaart ophalen door de volgende url
aan te klikken of te kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke
groet, De redactie taalsite primair onderwijs…

Asunto: Elektronicka pohlednice!
Adjunto: «link.seznam.cz.pohlednice.index.php2Avf3.pif»
Cuerpo:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz –

Asunto: E-carte!
Adjunto: «link.zdnet.fr.ecarte.index.php34b31.pif»
Cuerpo:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez,
l’adresse suivante link: http://zdnet.fr/showcard.index.php34bs42
http://www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5
minutes, du dialogue en direct…

Asunto: Ti e stata inviata una Cartolina Virtuale!
Adjunto: «link.cartoline.it.viewcard.index.4g345a.pif»
Cuerpo:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click sul link
sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione,
la cartolina sara visibile sui nostri server per 2 giorni e poi verra
rimossa automaticamente.

Asunto: You`ve got 1 VoiceMessage!
Adjunto: «link.voicemessage.com.listen.index.php1Ab2c.pif»
Cuerpo:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com
website! Sender: You can listen your Virtual VoiceMessage at the
following link: http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link. Send VoiceMessage! Try our new
virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

Asunto: Tessek mosolyogni!!!
Adjunto: «meztelen csajok fociznak.flash.jpg.pif»
Cuerpo:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

Asunto: Soxor Csok!
Adjunto: «anita.image043.jpg.pif»
Cuerpo:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem
tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l,
addig is cs=F3k: )l@

Asunto: Don`t worry, be happy!
Adjunto: «www.ecard.com.funny.picture.index.nude.php356.pif»
Cuerpo:
Hi Honey! I`m in hurry, but i still love ya… (as you can see on
the picture) Bye – Bye:

Asunto: Check this out kid!!!
Adjunto: «jennifer the wild girl xxx07.jpg.pif»
Cuerpo:
Send me back bro, when you`ll be done…(if you know what i mean…)
See ya,

Bernardo Quintero
bernardo@hispasec.com

Más información:

W32/Zafi.b@MM
http://vil.nai.com/vil/content/v_126242.htm

Zafi.B
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=48433

W32.Erkez.B@mm
http://www.sarc.com/avcenter/venc/data/w32.erkez.b@mm.html

I-Worm.Zafi.b
http://www.viruslist.com/eng/viruslist.html?id=1666973

WORM_ZAFI.B
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?id=59650&VName=WORM_ZAFI.B&VSect=O

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • Campañas de phishing utilizan Flipper Zero como cebo
  • USB Killer, el enchufable que puede freir tu equipo
  • Tamagotchi para hackers: Flipper Zero

Entradas recientes

  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Descubierta una nueva campaña de malware que se propagaba a través de los anuncios de Google
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR