VIRUS ... ZAFI.D

OCAÑA FLAVIA BREMILDA 3°C

INFECTA EL CORREO ELECTRONICO
EL VIRUS NAVIDEÑO "ZAFI" AMENAZA LOS SISTEMAS INFORMATICOS DE LOS USUARIOS

El virus Zafi se propaga por internet camuflado en una felicitacion navideña

El virus ZAFI.D es un gusano que se difunde mediante el envío masivo de mensajes de correo electrónico y redes de intercambio de archivos P2P (entre pares). Utiliza mensajes con el aspecto de una felicitación navideña en varios idiomas, que escoge según el dominio de la dirección de correo electrónico.

Este gusano intenta detener programas de seguridad como cortafuegos y antivirus, y de monitorización, como el Administrador de Tareas o el Editor del Registro de Windows. También puede intentar abrir una puerta trasera en el ordenador infectado.

INFORMACION SOBRE EL VIRUS

PERFIL DEL VIRUS: W32/ZAFI.D@MM

Gravamen De Riesgo:	Peligrocidad 4 - alta
-Usuarios caseros:	Medio
-Usuarios coorporativos:	Medio
Fecha Descubierta:	12/14/2004
Fecha Agregada:	12/14/2004
Origen:	Desconocido
Longitud:	11.745 octetos (EXE)
Tipo:	Virus
Subtipo:	Gusano del E-mail
DAT Requerido:	4414

CARACTERISTICAS DEL VIRUS

-- DEC 14ta 2004 De la Actualización -- El gravamen de riesgo de esta amenaza fue levantado al medio debido al predominio creciente. Los 4414 DATs fueron lanzados temprano para esta amenaza.
Esta nueva variante contiene las caracteristicas siguientes:
- contiene su propio motor del smtp para construir mensajes de salida
- spoofs de: dirección
- direcciones del email de la blanco de las cosechas de la máquina de la víctima
- el cuerpo de mensaje saliente del email está en húngaro o inglés
- exhibe comportamiento del gusano del p2p
- cierra abajo de servicios de seguridad

MODO DE INFECCION

Este gusano crea los siguientes ficheros en la carpeta %windir%\system32:

C:\WINNT\system32\ .EXE - 11.745 bytes
C:\WINNT\system32\Norton Update.exe - 11.745 bytes
C:\WINNT\system32\[caracteres aleatorios] .DLL - (gusano comprimido)
C:\s.cm - 20,552 bytes (módulo dll de winzipe)

Donde %windir% es la carpeta de instalación de Windows, por defecto C:\Windows en Windows XP.
Crea el siguiente valor:
"Wxp4" = "%System%\Norton Update.exe"
bajo la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
para ser ejecutado durante el inicio de sesión del usuario.
Además crea varias entradas bajo la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
donde almacena su información.

DIFUSION POR CORREO ELECTRONICO

Este virus recoge direcciones de correo electrónico de ficheros del PC infectado con las siguientes extensiones:

* htm	* wab	* txt
* dbx	* tbb	* asp
* php	* sht	* adb
* mbx	* eml	* pmr
* fpt	* inb

que guarda en la carpeta de sistema de Windows usando nombres aleatorios con extensión DLL. Utiliza su propio motor SMTP para enviar mensajes con las siguientes características:

* Remitente: (Falsificado)

* Asunto: Por ejemplo (Uno de los siguientes):

FELIZ NAVIDAD!
Joyeux Noel!
Christmas Kort!
Merry Christmas!

* Mensaje: Por ejemplo (Uno de los siguientes):

Happy HollyDays!
:) [Remitente]
Veselé Vánoce!
:) [Remitente]
Feliz Navidad!
:) [Remitente]
Glaedelig Jul!
:) [Remitente]

* Adjunto: de nombre variable, pero suele contener la palabra "postal" en el idioma del resto del mensaje y doble extensión, siendo la última .bat, .cmd, .com, .pif, .zip

EL GUSANO ELIJE EL IDIOMA CORRESPONDIENTE A LOS DOMINIOS:

.hu .sp .ru .dk .ro .se .no .fi .lt .pl .pt .de .nl .cz .fr .it .mx .at .es

y evita enviarse a direcciones que contengan las siguientes cadenas:

yaho,google, win, use, info, help, admi, ebm, micro, msn, hotm, suppor, syman, viru, trend, secur, panda, cafee, sopho, kasper.

El aspecto de los mensajes son como el siguiente:

Luego, Zafi.D ,se copia en todos los directorios del equipo infectado cuyos nombres contengan las cadenas: share, upolad, music.
Con los nombres: winamp 5.7 new!.exe, ICQ 2005a new!.exe.

EFECTO

Cuando el gusano es ejecutado muestra el siguiente mensaje (falso):

Para difucultar la identificación manual del gusano intenta impedir la ejecución de procesos en cuyo nombre figuren las siguientes cadenas:

* reged ; * msconfig ; * task.
Abre el puerto 8181 del equipo infectado, y espera que un fichero sea transferido a través del mismo. Seguidamente ejecuta este archivo, que generalmente se corresponde con otra amenaza.

Busca ficheros con extensión .exe en carpetas cuyos nombres contengan las siguientes cadenas:

* syman ; * viru ; * trend ; * secur ; * panda ; * cafee ; * sopho ; * kasper.

SOLUCION

Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección.
Si esto no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios,ya que podria haberse creado una copia de seguridad del virus.

con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC; Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución.
Si no puede eliminar el virus, arranque Windows en modo seguro. Para ello presione F8 repetidamente durante el arranque del PC hasta que aparezca el menú de arranque de Windows, y elijo "Modo seguro" o "Modo a prueba de fallos", según la version de Windows. Vuelva a ejecutar el antivirus en este modo.

A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

Elimine el siguiente valor:

"Wxp4" = "%System%\Norton Update.exe"
bajo la clave del registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Elimne la siguiente clave junto con todo su contenido:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.

DESINFECCION MANUAL

Si desea eliminar manualmente el gusano, lleve a cabo las siguientes instrucciones:

1.Desactive la restauración automática en Windows XP/ME.

2. Ejecute un antivirus actualizado y elimine los archivos infectados.

3. Desde Inicio, Ejecutar, escriba REGEDIT y pulse Enter para acceder al Registro del sistema.

4. Elimine bajo la columna "Nombre", la entrada "Wxp4", en la siguiente clave del registro:

HKLM\Software\Microsoft\Windows
\CurrentVersion\Run

5. Elimine la carpeta "Wxp4" en la siguiente clave del registro:

HKLM\SOFTWARE\Microsoft\Wxp4

6. Cierre el editor del Registro del sistema

7. Reinicie el equipo y ejecute un antivirus actualizado para eliminar toda presencia del gusano.