Alerta: Gusano Zafi.D aparenta ser una felicitación navideña

Aunque también infecta a través de redes P2P, su principal vía de propagación es el correo electrónico, presentándose adjunto en un mensaje con un asunto donde nos felicita la Navidad y adjuntando una hipotética postal, que en realidad es el gusano.

En el asunto del e-mail en el que se propaga nos felicita la Navidad. El cuerpo del mensaje, en formato HTML, puede incluir un texto felicitando las fiestas con un pequeño gráfico animado .GIF, seguidos de una línea con una sonrisa “:)” y el nombre del remitente. Al final del mensaje aparece una URL con el dominio del correo electrónico del destinatario y el nombre de archivo adjunto, simulando que se trata de una postal gráfica.

Ejemplo de mensaje del gusano:

—-

De: Usuario XXX

Para: ejemplo@victima.com

Asunto: Merry Christmas!

Adjunto: postcard.index.htm7521.cmd

Cuerpo:

* …. [gráfico animado]…. *

:) Usuario XXX

http://victima.com/postcard.index.htm7521 – Picture Size: 11KB, Mail: +OK

—-

Zafi.D se propaga en diferentes idiomas dependiendo del dominio de la dirección de correo a la que se envía, de forma que los textos utilizados pueden ser:

boldog karacsony…

Buon Natale!

Christmas – Kartki!

Christmas Kort!

Christmas pohlednice

Christmas postikorti!

Christmas Postkort!

Christmas Vykort!

ecard.ru

Feliz Navidad!

Fröhliche Weihnachten!

Glaedelig Jul!

God Jul!

Happy HollyDays!

Iloista Joulua!

Joyeux Noel!

Kellemes Unnepeket!

Merry Christmas!

Naulieji Metai!

Prettige Kerstdagen!

Prettige Kerstdagen!

Veselé Vánoce!

Weihnachten card.

Wesolych Swiat!

Si un usuario ejecuta el archivo del gusano creyendo que se trata de una postal navideña, Zafi.D simula que no puede abrirse debido a un error, haciendo aparecer una ventana con el título “CRC: 04F78h” y el mensaje “Error in packed file!”.

Cuando aparezca ese mensaje, el gusano habrá comenzado la infección del sistema. En la carpeta de sistema de Windows crea varios archivos, que incluyen copias del gusano, una como “Norton Update.exe” y dos con nombres de archivos al azar y extensión .DLL.

Introduce varias entradas en el registro de Windows, la típica en la clave RUN para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun “Wxp4″=C:WINDOWSSYSTEM32Norton Update.exe

Y una segunda donde almacena información adicional del gusano:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWxp4

El gusano recolecta direcciones a las que enviarse de los archivos que encuentra en el sistema infectado cuya extensión sea: .adb, .asp, .dbx, .eml, .fpt, .htm, .inb, .mbx, .php, .pmr, .sht, .tbb, .txt, o .wab.

Zafi.D evita enviarse a las direcciones de correo electrónico que contenga alguna de las siguientes cadenas de texto: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, secur, sopho, suppor, syman, trend, use, viru, webm, win o yaho.

Para propagarse a través de redes P2P, el gusano se copia en todas las carpetas de la unidad C: que contenta alguna de las siguientes cadenas: share, upload o music. Los nombres de esas carpetas suelen coincidir con los directorios utilizados por los clientes P2P para compartir archivos, de forma que el gusano pasa a formar parte de los archivos compartidos en la red.

Para intentar que los usuarios se lo descarguen, ejecuten e infecte, el gusano se copia en dichas carpetas utilizando nombres llamativos, como nuevas versiones de aplicaciones muy extendidas, ejemplos: “winamp5.7 new!.exe” o “ICQ 2005a new!.exe”.

Por último Zafi.D también incluye algunas características para intentar evadir al software de seguridad, como antivirus y firewalls personales, eliminando sus procesos en memoria. Adicionalmente también intenta prevenir la desinfección manual, finalizando los procesos que contentan las cadenas de “msconfig”, “reged”, o “task”.

Según datos obtenidos por el servicio de Hispasec VirusTotal (http://www.virustotal.com) y nuestro laboratorio, podemos ofrecer los tiempos de reacción reacción de los distintos motores antivirus.

En primer lugar destacar aquellos motores que lo detectaban incluso antes de su aparición, y por tanto mantenían a sus usuarios protegidos desde el primer momento:

BitDefender BehavesLike:Win32.P2P-Worm F-Prot could be infected with an unknown virus McAfee New Malware.b NOD32v2 probably unknown NewHeur_PE Panda (TruPrevent)

Las firmas específicas, según hora española, estuvieron disponibles en los siguientes tiempos:

Norman 14.12.2004 10:54 :: Nocard.A@mm

Kaspersky 14.12.2004 11:08 :: Email-Worm.Win32.Zafi.d

Sophos 14.12.2004 13:12 :: W32/Zafi-D

ClamAV 14.12.2004 13:48 :: Worm.Zafi.D

F-Prot 14.12.2004 13:48 :: W32/Zafi.D@mm

Antivir 14.12.2004 13:53 :: Worm/Zafi.D

Panda 14.12.2004 14:04 :: W32/Zafi.D.worm

DrWeb 14.12.2004 14:55 :: Win32.HLLM.Hazafi.36864

NOD32v2 14.12.2004 14:56 :: Win32/Zafi.D

BitDefender 14.12.2004 15:37 :: Win32.Zafi.D@mm

McAfee 14.12.2004 16:29 :: W32/Zafi.d@MM

eTrust-Iris 14.12.2004 17:52 :: Win32/Zafi.D.Worm

Trend Micro 14.12.2004 17:57 :: WORM_ZAFI.D