El gusano Zafi.B aumenta su propagación en las últimas horas

Según las estadísticas de VirusTotal, el gusano Zafi.B busca antivirus y firewalls en los sistemas y sobrescribe sus ejecutables con una copia del gusano. El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB), resultado de que el autor haya comprimido el ejecutable original de 33.292 bytes con la utilidad FSG.

Su principal vía de distribución es el correo electrónico, si bien también se copia en todas las carpetas del sistema infectado cuyos nombres contengan las palabras “share” o “upload”, que pueden pertenecer a los directorios de archivos compartidos de algunas aplicaciones P2P. Los nombres que utiliza para intentar propagarse en las redes P2P son “winamp 7.0 full_install.exe” y “Total Commander 7.0 full_install.exe”.

Cuando el gusano es ejecutado en un sistema, en primer lugar realiza una copia del mismo en el directorio de sistema (system32) de Windows con un nombre de archivo al azar y extensión .EXE o .DLL. A continuación introduce una entrada en el registro de Windows para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun “_Hazafibb”=%windir%System32[nombre al azar]

Crea varios archivos con extensión .DLL donde almacena todas las direcciones de correo que recopila del sistema infectado, los nombres de estos archivos pueden encontrarse en la siguiente entrada del registro de Windows: HKEY_LOCAL_MACHINESOFTWAREMicrosoft_Hazafibb

Zafi.B puede distribuirse por correo electrónico con varios asuntos y textos en el cuerpo del mensaje, así como en varios idiomas que utiliza según el dominio de la dirección de destino. De esta forma, por ejemplo, si la dirección finaliza en .it el gusano enviará el mensaje en italiano, y si lo hace en .ru lo hará en ruso.

A la hora de enviarse por e-mail, evita hacerlo a las direcciones que contengan algunos de los siguientes textos: win, use, info, help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend, panda, yaho, cafee, sopho, google y kasper.

Como efecto adicional, el gusano está programado para llevar un ataque distribuido de denegación de servicio contra varios sitios web de Hungría: www.2f.hu, www.parlament.hu, www.virusbuster.hu y www.virushirado.hu.

De la observación de los mensajes enviados a VirusTotal, los más repetidos suelen aparecer con el mismo texto en el campo Remite/De y en el Asunto, mientras que como cuerpo suelen incluir una sóla palabra, como por ejemplo “Surprise!” o “eBook!”.