|
VSantivirus No. 1384 Año 8, martes 20 de abril de 2004
W32/Zafi.A. Asunto: "kepeslap erkezett!"
http://www.vsantivirus.com/zafi-a.htm
Nombre: W32/Zafi.A
Tipo: Gusano de Internet
Alias: Zafi.A, W32/Zafi.A.worm, W32/Zafi.A@mm, I-Worm.Kapes, W32.Erkez.A@mm, W32/Zafi@MM, New Malware.b, W32/Zafi.A-mm
Plataforma: Windows 32-bit
Fecha: 19/abr/04
Tamaño: 11,776 bytes
Gusano que se propaga a través del correo electrónico, en un mensaje escrito en húngaro. Finaliza los procesos pertenecientes a varios programas antivirus y cortafuegos, dejando al equipo infectado, vulnerable ante el ataque de otros códigos maliciosos. El archivo adjunto, simula ser un enlace a una página Web.
Solo se propaga a direcciones con dominio .HU (Hungría), por lo que es poco probable se propague fuera de ese país.
Cada vez que se ejecuta, el gusano examina la fecha actual del equipo, y si la misma es 1 de mayo de 2004 o superior, no ejecuta su rutina de propagación, y en cambio exhibe una ventana con un texto también en húngaro, y de contenido político.
El mensaje usado para propagarse, presenta estas características:
De: kepeslapok@meglep.hu (u otra dirección falsa)
Asunto: kepeslap erkezett!
Texto del mensaje:
Tisztelt felhasználó!
Önnek képeslapja érkezett!
A képeslap feladója: Erzsi
A lapot az alábbi cimen tudja megtekinteni:
http//matav.hu/viewcard/index=p4uo5683535GSb0123fhhf578840f0623cv2
vagy a mellékelt internetlink kattintásával.
Üdvözlettel: Matav e-card!
http//www.netezz.matav.hu/
Datos adjuntos:
link.matav.hu.viewcard.index42adr4502hhjetywyjdf334gsdev25546.com
Cuando se ejecuta, se copia con nombres al azar de ocho letras, en el directorio System32 de Windows:
c:\windows\system32\[al azar].exe
c:\windows\system32\[al azar].dll
Crea las siguientes entradas en el registro:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"[al azar]" = c:\windows\system32\[al azar].exe [letra+número]
HKLM\SOFTWARE\Microsoft\Hazafi
Busca direcciones electrónicas en archivos con las siguientes extensiones:
.adb
.asp
.dbx
.eml
.htm
.mbx
.php
.pmr
.sht
.tbb
.txt
.wab
Las direcciones las almacena en cinco archivos con nombres al azar y extensión DLL:
c:\windows\system32\[al azar].dll
c:\windows\system32\[al azar].dll
c:\windows\system32\[al azar].dll
c:\windows\system32\[al azar].dll
c:\windows\system32\[al azar].dll
Finaliza los siguientes procesos activos:
dfw.exe
fsav32.exe
fsbwsys.exe
fsgk32.exe
fsm32.exe
fssm32.exe
fvprotect.exe
mcagent.exe
navapw32.exe
navdx.exe
navstub.exe
navw32.exe
nc2000.exe
ndd32.exe
netarmor.exe
netinfo.exe
netmon.exe
nmain.exe
nprotect.exe
ntvdm.exe
ostronet.exe
outpost.exe
pccguide.exe
pcciomon.exe
regedit.exe
regedit32.exe
taskmgr.exe
tnbutil.exe
vbcons.exe
vbsntw.exe
vbust.exe
vsmain.exe
vsmon.exe
vsstat.exe
winlogon.exe
zonalarm.exe
Reparación manual
Antivirus
1. Actualice sus antivirus con las últimas definiciones
2. Ejecútelos en modo escaneo, revisando todos sus discos
3. Borre los archivos detectados como infectados
Editar el registro
1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER
2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run
3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la entrada con un contenido similar al siguiente:
"[al azar]" = c:\windows\system32\[al azar].exe [letra+número]
4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:
HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Hazafi
5. Pinche en la carpeta "Hazafi" y bórrela.
6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.
7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).
Información adicional
Mostrar las extensiones verdaderas de los archivos
Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:
1. Ejecute el Explorador de Windows
2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.
3. Seleccione la lengüeta 'Ver'.
4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.
5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.
En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.
En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.
6. Pinche en 'Aplicar' y en 'Aceptar'.
Limpieza de virus en Windows Me y XP
Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:
Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm
Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm
(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
|