NetWork Associates

Web SATINFO (Mayorista Oficial de McAfee en España)

Servicios Antivirus McAfee ASaP

SERVICIO ASISTENCIA TECNICA INFORMATICA

www.satinfo.es

Anterior

 

 

Gusano de Internet de PROPAGACIÓN MEDIA que se propaga por correo electrónico y sistemas P2P

Nombre de virus: W32/Zafi.b@MM
Alias conocidos:
W32.Erkez.B@mm, Win32.Hazafi.30720
Riesgo Infección: Medio (Bajo, Medio, Alto, Muy Alto)
Propagación:
Por correo electrónico y P2P.
Activación: Por ejecución de fichero .PIF o .EXE
Detección: desde DATS 4366
Motor necesario: desde 4.2.60
Infección actual:
Media (Inicial, Media, Elevada)

W32/Zafi.b es un gusano mass mail que construye los mensajes salientes utilizando su propio motor SMTP, incluyendo una dirección remitente (From) falsa. También intenta propagar via P2P, haciendo una copia de sí mismo a carpetas del sistema local (que contengan 'share' o 'upload' en el nombre de la carpeta)

 

Propagación por correo electrónico

El gusano construye mensajes utilizando su propio motor SMTP, falseando la dirección remitente.

Busca direcciones de correo electrónico en el disco duro local, recopilando direcciones de ficheros con las siguientes extensiones:

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr

 

Las direcciones de email recopiladas se almacenan en cinco ficheros, dentro de la carpeta system32, utilizando nombres aleatorios, y con extensión .DLL

Ejemplo:
C:\WINNT\system32\kenbdplk.dll
C:\WINNT\system32\zibscdes.dll
C:\WINNT\system32\qfafsxoz.dll
C:\WINNT\system32\zhzukrhp.dll
C:\WINNT\system32\sdxsuwxt.dll

Las referencias a estos ficheros se almacenan dentro de la siguiente llave, que también es creada por el gusano:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb

 

El gusano evita enviarse a ciertas direcciones de correo, que contegan cualquiera de las siguientes cadenas:

  • admi
  • cafee
  • google
  • help
  • hotm
  • info
  • kasper
  • micro
  • msn
  • panda
  • sopho
  • suppor
  • syma
  • trend
  • use
  • vir
  • webm
  • win
  • yaho

 

El gusano se envía en diferentes idiomas. A continuación reproducimos algunos formatos. El remitente (From) del mensaje es falso. El nombre del servidor de correo que utiliza lo genera concatenado varias cadenas existentes en el cuerpo del virus. (Ej: fmx1.domain.hu)

Destinatario: anita
Asunto: Ingyen SMS!
Fichero Adjunto: "regiszt.php?3124freesms.index777.pif"
Mensaje:
------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu ---------------------------

Destinatario: claudia
Asunto: Importante!
Fichero Adjunto: "link.informacion.phpV23.text.message.pif"
Mensaje:
Informacion importante que debes conocer, -

Destinatario: katya
Asunto: Katya
Fichero Adjunto: "view.link.index.image.phpV23.sexHdg21.pif"

Destinatario: eva
Asunto: E-Kort!
Fichero Adjunto: "link.ekort.index.phpV7ab4.kort.pif"
Mensaje:
Mit hjerte banker for dig!

Destinatario: marica
Asunto: Ecard!
Fichero Adjunto: "link.showcard.index.phpAv23.ritm.pif"
Mensaje:
De cand te-am cunoscut inima mea are un nou ritm!

Destinatario: anna
Asunto: E-vykort!
Fichero Adjunto: "link.vykort.showcard.index.phpBn23.pif"
Mensaje:
Till min Alskade...

Destinatario: erica
Asunto: E-Postkort!
Fichero Adjunto: "link.postkort.showcard.index.phpAe67.pif"
Mensaje:
Vakre roser jeg sammenligner med deg...

Destinatario: katarina
Asunto: E-postikorti!
Fichero Adjunto: "link.postikorti.showcard.index.phpGz42.pif"
Mensaje:
Iloista kesaa!

Destinatario: magdolina
Asunto: Atviruka!
Fichero Adjunto: "link.atviruka.showcard.index.phpGz42.pif"
Mensaje:
Linksmo gimtadieno! ha

Destinatario: beate
Asunto: E-Kartki!
Fichero Adjunto: "link.kartki.showcard.index.phpVg42.pif"
Mensaje:
W Dniu imienin...

Destinatario:
Asunto: Cartoe Virtuais!
Fichero Adjunto: "link.cartoe.viewcard.index.phpYj39.pif"
Mensaje:
Content: Te amo... ,

Destinatario: alice
Asunto: Flashcard fuer Dich!
Fichero Adjunto: "link.flashcard.de.viewcard34.php.2672aB.pif"
Mensaje:
Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr...

Destinatario: eva
Asunto: Er staat een eCard voor u klaar!
Fichero Adjunto: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"
Mensaje:
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs...

Destinatario: hanka
Asunto: Elektronicka pohlednice!
Fichero Adjunto: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Mensaje:
Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz -

Destinatario: claudine
Asunto: E-carte!
Fichero Adjunto: "link.zdnet.fr.ecarte.index.php34b31.pif"
Mensaje:
vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...

Destinatario: francesca
Asunto: Ti e stata inviata una Cartolina Virtuale!
Fichero Adjunto: "link.cartoline.it.viewcard.index.4g345a.pif"
Mensaje:
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

Destinatario: jennifer
Asunto: You`ve got 1 VoiceMessage!
Fichero Adjunto: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Mensaje:
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

Destinatario: anita
Asunto: Tessek mosolyogni!!!
Fichero Adjunto: "meztelen csajok fociznak.flash.jpg.pif"
Mensaje:
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

Destinatario: anita
Asunto: Soxor Csok!
Fichero Adjunto: "anita.image043.jpg.pif"
Mensaje:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k: )l@

Destinatario: jennifer
Asunto: Don`t worry, be happy!
Fichero Adjunto: "www.ecard.com.funny.picture.index.nude.php356.pif"
Mensaje:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:

Destinatario: david
Asunto: Check this out kid!!!
Fichero Adjunto: "jennifer the wild girl xxx07.jpg.pif"
Mensaje:
Send me back bro, when you`ll be done...(if you know what i mean...) See ya,

 

Propagación por P2P

El gusano se copia a directorios de la unidad C: que contengan una de las siguientes cadenas:

  • share
  • upload

 

Se copia con uno de estos nombres:

  • Total Commander 7.0 full_install.exe
  • winamp 7.0 full_install.exe

 


Payload de sobrescritura de ficheros

El gusano busca directorios de software antivirus y firewalls, y sobreescribe los ejecutables que encuentre, por una copia de sí mismo.

 

Payload de terminación de proceso

En un intento de impedir la identificación y limpieza de un equipo infectado, el gusano intentará terminar procesos que contengan cualquiera de las siguientes cadenas:

  • regedit
  • msconfig
  • task

 

Síntomas

Instalación del gusano

Una vez se ejecuta, el gusano se copia dos veces a la carpeta %windir%\system32 utilizando un nombre aleatorio y extensión .EXE y .DLL.

Ejemplo:
C:\WINNT\system32\jrbtgmqi.exe
C:\WINNT\system32\enfrbatm.dll

Crea una clave de registro, para provocar su ejecución cada vez que inicie la máquina:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "_Hazafibb" = %windir%\System32\jrbtgmqi.exe

 

Otros síntomas incluyen:

  • Software seguridad no funciona
  • Tráfico de red
  • Ralentización del sistema

 

Detección y eliminación

El gusano se controla desde los DAT 4366 ya disponibles, para su eliminación se recomienda ejecutar nuestra utilidad ELIZAFIA.

SATINFO, VIRUSCAN SPAIN SERVICE 14 de Junio de 2004

Anterior