Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

W32/Zafi.B. Sobrescribe ejecutables del sistema
 
VSantivirus No. 1436 Ańo 8, viernes 11 de junio de 2004

W32/Zafi.B. Sobrescribe ejecutables del sistema
http://www.vsantivirus.com/zafi-b.htm

Nombre: W32/Zafi.B
Tipo: Gusano de Internet
Alias: Zafi.B, Win32/Zafi.B, PE_ZAFI.B, WORM_ZAFI.B, W32/Zafi-B, I.worm.zafi.B@mm, W32/Zafi.B@mm, I-Worm.Zafi.b, W32.Erkez.B@mm
Fecha: 10/jun/04
Plataforma: Windows 32-bit
Tamańo: 12,800 bytes

Este gusano es capaz de propagarse a través del correo electrónico, utilizando direcciones seleccionadas de diversos archivos de los equipos infectados.

También se copia en carpetas que contengan ciertas cadenas en sus nombres, con la idea de propagarse por redes de intercambio de archivos entre usuarios (P2P).

Intenta sobrescribir todos los archivos .EXE localizados en determinadas carpetas del sistema operativo.

Además, puede deshabilitar la ejecución de determinados procesos del sistema.

Ejemplos de algunos de los posibles mensajes creados y enviados por el gusano:

Ejemplo 1:

De: Anita
Asunto: Ingyen SMS!

Datos adjuntos:
regiszt.php?3124freesms.index777.pif

Texto del mensaje:

------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet
felhasználni. Küldj te is SMST! Nehány kattintás és a
mellékelt regisztrációs lap kitöltése után azonnal
igénybevehet?! B?vebb információt a www .777sms .hu
oldalon találsz, de siess, mert az els? ezer
felhasználó között értékes nyereményeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

Ejemplo 2:

De: Claudia
Asunto: Importante!

Datos adjuntos:
link.informacion.phpV23.text.message.pif

Texto del mensaje:

Informacion importante que debes conocer, -

Ejemplo 3:

De: Katya
Asunto: Katya

Datos adjuntos:
view.link.index.image.phpV23.sexHdg21.pif

Texto del mensaje:

ADAOIU
OEIE

Ejemplo 4:

De: .
Asunto: E-Kort!

Datos adjuntos:
link.ekort.index.phpV7ab4.kort.pif

Texto del mensaje:

Mit hjerte banker for dig!

Ejemplo 5:

De: Marica
Asunto: Ecard!

Datos adjuntos:
link.showcard.index.phpAv23.ritm.pif

Texto del mensaje:

De cand te-am cunoscut inima mea are un nou ritm!

Ejemplo 6:

De: Anna
Asunto: E-vykort!

Datos adjuntos:
link.vykort.showcard.index.phpBn23.pif

Texto del mensaje:

Till min Alskade...

Ejemplo 7:

De: Erica
Asunto: E-Postkort!

Datos adjuntos:
link.postkort.showcard.index.phpAe67.pif

Texto del mensaje:

Vakre roser jeg sammenligner med deg...

Ejemplo 8:

De: Katarina
Asunto: E-postikorti!

Datos adjuntos:
link.postikorti.showcard.index.phpGz42.pif

Texto del mensaje:

Iloista kesaa!

Ejemplo 9:

De: Magdolina
Asunto: Atviruka!

Datos adjuntos:
link.atviruka.showcard.index.phpGz42.pif

Texto del mensaje:

Linksmo gimtadieno!

Ejemplo 10:

De: Beate
Asunto: E-Kartki!

Datos adjuntos:
link.kartki.showcard.index.phpVg42.pif

Texto del mensaje:

W Dniu imienin...

Ejemplo 11:

De: @
Asunto: Cartoe Virtuais!

Datos adjuntos:
link.cartoe.viewcard.index.phpYj39.pif

Texto del mensaje:

Te amo...

Ejemplo 12:

De: Alice
Asunto: Flashcard fuer Dich!

Datos adjuntos:
link.flashcard.de.viewcard34.php.2672aB.pif

Texto del mensaje:

Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in
deinem Browser einfach den nun folgenden link:
http:/ /flashcard .de/interaktiv /viewcards /view
.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...

Ejemplo 13:

De:
Asunto: Er staat een eCard voor u klaar!

Datos adjuntos:
postkaarten.nl.link.viewcard.index.phpG4a62.pif

Texto del mensaje:

Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te
klikken of te kopiren in uw browser link:
http:/ /postkaarten .nl /viewcard .show53 .index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Ejemplo 14:

De: Hanka
Asunto: Elektronicka pohlednice!

Datos adjuntos:
link.seznam.cz.pohlednice.index.php2Avf3.pif

Texto del mensaje:

Ahoj!
Elektronick pohlednice ze serveru
http:/ /www .seznam .cz

Ejemplo 15:

De: Claudine
Asunto: E-carte!

Datos adjuntos:
link.zdnet.fr.ecarte.index.php34b31.pif

Texto del mensaje:

vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http:/ /zdnet .fr/showcard .index .php34bs42
www .zdnet .fr, plus de 3500 cartes virtuelles, vos
pages web en 5 minutes, du dialogue en direct...

Ejemplo 16:

De: Francesca
Asunto: Ti e stata inviata una Cartolina Virtuale!

Datos adjuntos:
link.cartoline.it.viewcard.index.4g345a.pif

Texto del mensaje:

Ciao!
ha visitato il nostro sito, cartolina.it e ha creato
una cartolina virtuale per te! Per vederla devi fare
click sul link sottostante:
http:/ /cartolina .it /asp .viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server
per 2 giorni e poi verra rimossa automaticamente.

Ejemplo 17:

De: Jennifer
Asunto: You`ve got 1 VoiceMessage!

Datos adjuntos:
link.voicemessage.com.listen.index.php1Ab2c.pif

Texto del mensaje:

Dear Customer!
You`ve got 1 VoiceMessage from voicemessage .com
website! You can listen your Virtual VoiceMessage at
the following link:
http:/ /virt.voicemessage .com /index .listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage
Empire!
Best regards: SNAF.Team (R).

Ejemplo 18:

De: Anita
Asunto: Tessek mosolyogni!!!

Datos adjuntos:
meztelen csajok fociznak.flash.jpg.pif

Texto del mensaje:

Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:

Ejemplo 19:

De: Anita
Asunto: Soxor Csok!

Datos adjuntos:
anita.image043.jpg.pif

Texto del mensaje:

Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók:

Ejemplo 20:

De: Jennifer
Asunto: Don`t worry, be happy!

Datos adjuntos:
www.ecard.com.funny.picture.index.nude.php356.pif

Texto del mensaje:

Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:

Ejemplo 21:

De: David
Asunto: Check this out kid!!!

Datos adjuntos:
jennifer the wild girl xxx07.jpg.pif

Texto del mensaje:

Send me back bro, when you`ll be done...(if you
know what i mean...)
See ya, David

Cuando se ejecuta, el gusano crea copias de si mismo en el directorio del sistema de Windows, con nombres al azar:

c:\windows\system\[nombre al azar].exe
c:\windows\system\[nombre al azar].dll

NOTA: La ubicación de la carpeta System puede variar de acuerdo al sistema operativo instalado. "c:\windows\system" (por defecto) en Windows 9x/ME, "c:\winnt\system32" en Windows NT/2000 y "c:\windows\system32" en Windows XP y Windows Server 2003.

También creará allí otros archivos con extensión .DLL y nombres al azar, que contendrán las direcciones de correo que el gusano obtendrá del equipo infectado.

Se copia también en carpetas que contengan las siguientes cadenas de caracteres en sus nombres:

share
upload

Para ello utiliza los siguientes nombres:

winamp 7.0 full_install.exe
Total Commander 7.0 full_install.exe

Crea la siguiente entrada en el registro para autoejecutarse en cada reinicio de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
_Hazafibb = c:\windows\system\[nombre al azar].exe

Para propagarse, busca direcciones de correo en archivos de todos los discos y carpetas, con la siguientes extensiones:

.adb
.asp
.dbx
.eml
.htm
.mbx
.php
.pmr
.sht
.tbb
.txt
.wab

Evita enviarse a direcciones que contengan las siguientes cadenas en sus nombres:

admi
cafee
google
help
hotm
info
kasper
micro
msn
panda
sopho
suppor
syma
trend
use
vir
webm
win
yaho

El gusano es capaz de sobrescribir los archivos .EXE ubicados en determinadas carpetas del sistema, con una copia de si mismo.

También abre al azar, sitios visitados anteriormente por el usuario. Esta información la obtiene de la siguiente rama del registro:

HKCU\Software\Microsoft\Internet Explorer\TypedURLs

Finalmente, el gusano puede deshabilitar la ejecución de los procesos que contengan las siguientes cadenas en sus nombres:

msconfig
regedit
task


Herramienta de limpieza automática:

Descargue y ejecute esta herramienta en su computadora, para una limpieza automática de la misma. Siga las instrucciones en pantalla.

Future Time Srl (NOD 32) (291 Kb)
http://www.nod32.it/cgi-bin/mapdl.pl?tool=ZafiB


Reparación manual

Deshabilitar las carpetas compartidas de programas P2P

Es necesario deshabilitar la opción que permite compartir archivos del o los programas P2P instalados en su computadora, o podría fallar la limpieza del sistema.

Para ello, siga las instrucciones del siguiente artículo:

Cómo deshabilitar compartir archivos en programas P2P
http://www.vsantivirus.com/deshabilitar-p2p.htm


Antivirus

Actualice sus antivirus con las últimas definiciones, luego siga estos pasos:

1. Reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecute sus antivirus en modo escaneo, revisando todos sus discos duros.

3. Borre los archivos detectados como infectados.

NOTA: Algunos archivos sobrescritos por el virus deberán ser restaurados desde un respaldo anterior o mediante una reinstalación.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha, bajo la columna "Nombre", busque y borre la siguiente entrada:

_Hazafibb

4. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\_Hazafibb

5. Pinche en la carpeta "_Hazafibb" y bórrela.

6. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

7. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).


Información adicional

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:

11/06/04 - 14:46 -0300 (Lista de mensajes)
11/06/04 - 14:59 -0300 (Alias: W32/Zafi-B)
11/06/04 - 15:02 -0300 (Alias: I.worm.zafi.B@mm)
11/06/04 - 15:02 -0300 (Alias: W32/Zafi.B@mm)
11/06/04 - 15:02 -0300 (Alias: I-Worm.Zafi.b)
12/06/04 - 07:37 -0300 (Alias: W32.Erkez.B@mm)





(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS