w32/zafi.c@mm, zafi.c, w32/zafi.c.worm, i-worm.zafi.c, worm_zafi.c, w32.erkez.c@mm, win32.zafi.46080
tipo: virus, gusano
tama?o: 15,993 bytes
origen: internet
destructivo: si en la calle (in the wild): si detección y eliminación: the hacker 5.7, registro de virus al 28/10/2004
w32/zafi.c, es un gusano de envi? masivos de e-mail, utiliza su propio motor smtp para enviarse a si mismo a todas las direcciones de e-mail que encuentre en la libreta de direcciones de windows y en archivos con las siguientes extensiones, .htm, .wab, .txt, .dbx, .tbb, .asp, .php, .sht, .adb, .mbx, .eml y .pmr.
los mensajes de email est?n escritos en diferentes idiomas, como adjunto hay una copia del archivo del gusano la cual puede tener una doble extensi?n.
el gusano no se env?a a si mismo a direcciones que en su nombre contengan los siguientes textos:
info help aol webm micro msn hotmail.co suppor syma vir trend panda hoo.com cafee sopho google kasper cuando el gusano se ejecuta crea un mutex llamado updatez3, el cual permite que solo una instancia del gusano se ejecute en memoria.
seguidamente se copia a si mismo en:
system \svchost.com system \svchost.com tambi?n crea varios archivos dentro de la carpeta system con el siguiente nombre:
system \svchost.co [#] donde: [#] es un digito aleatorio
nota:
- system representa la carpeta system dentro de windows (ej. c:\windows\system, c:\winnt\system32 )
adem?s crea una entrada en el registro para poder ejecutarse en cada inicio del sistema
hkey_local_machine\software\microsoft\windows\currentversion\run
_svchost.con= system \svchost.com
tambi?n crea la siguiente entrada en el registro
hkey_local_machine\software\microsoft\updatez3
luego modifica algunas entradas en el registro para deshabilitar algunos antivirus y aplicaciones de seguridad como el centro de seguridad de windows xp con sp2.
hk ey_l ocal_m achine\s ystem\currentcontrolset\services\sharedaccess\parameters\firewallpolic\standardprofile
disablenotifications = 1
hk ey_l ocal_m achine\s ystem\currentcontrolset\services\sharedaccess\parameters\firewallpolic\standardprofile
enablefirewall = 0
hk ey_l ocal_m achine\s ystem\currentcontrolset\services\sharedaccess\parameters\firewallpolic\standardprofile
donotallowexceptions = 0
hk ey_l ocal_m achine\software\microsoft\security center \antivirusdisablenotify = 1
hk ey_l ocal_m achine\software\microsoft\security center \antivirusoverride = 1
hk ey_l ocal_m achine\software\microsoft\security center \firewalldisablenotify = 1
hk ey_l ocal_m achine\software\microsoft\security center \firewalloverride = 1
hk ey_l ocal_m achine\software\microsoft\security center \updatesdisablenotify = 1
el gusano busca archivos o carpetas de antivirus y productos de seguridad, si encuentra alguno sobrescribe el archivo con una copia de si mismo, si es una carpeta sobrescribir? todos los archivos .exe que contenga dicha carpeta con una copia de si mismo.
luego buscar? carpetas en el computador atacado, cuyo nombre contengan los siguientes textos share, upload o downlo, si encuentra alguna, este se copiar? a si mismo como doom3 keygen.exe.
finalizar? los procesos que en su nombre tengan las siguientes cadenas de texto, regedit, msconfig y task
finalmente realiza ataques de denegaci?n de servicio (dos) a los siguientes sitios:
www.google.com www.microsoft.com www.miniszterelnok.hu |
