Gusano Zafi.B
*------------------------------------------------------------------------------------------*
El gusano se presenta con un tamaño de 12.800 bytes (12,8 KB),
resultado de que el autor haya comprimido el ejecutable original de
33.292 bytes con la utilidad FSG.
Su principal vía de distribución es el correo electrónico, si bien
también se copia en todas las carpetas del sistema infectado cuyos
nombres contengan las palabras "share" o "upload", que pueden
pertenecer a los directorios de archivos compartidos de algunas
aplicaciones P2P. Los nombres que utiliza para intentar propagarse
en las redes P2P son "winamp 7.0 full_install.exe" y "Total Commander
7.0 full_install.exe".
La reacción de las diferentes casas antivirus en proporcionar la
actualización a sus usuarios para detectar a Zafi.B fue la siguiente:
NOD32 10/06/2004 13:21:34 :: Win32/Zafi.B
Kaspersky 11/06/2004 04:34:56 :: I-Worm.Zafi.b
Panda 11/06/2004 15:02:10 :: W32/Zafi.B.worm
Symantec 11/06/2004 23:24:37 :: W32.Erkez.B@mm
Cuando el gusano es ejecutado en un sistema, en primer lugar realiza
una copia del mismo en el directorio de sistema (system32) de Windows
con un nombre de archivo al azar y extensión .EXE o .DLL. A
continuación introduce una entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
"_Hazafibb"=%windir%\System32\[nombre al azar]
Crea varios archivos con extensión .DLL donde almacena todas las
direcciones de correo que recopila del sistema infectado, los
nombres de estos archivos pueden encontrarse en la siguiente entrada
del registro de Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\_Hazafibb
Zafi.B puede distribuirse por correo electrónico con varios asuntos
y textos en el cuerpo del mensaje, así como en varios idiomas que
utiliza según el dominio de la dirección de destino. De esta forma,
por ejemplo, si la dirección finaliza en .it el gusano enviará el
mensaje en italiano, y si lo hace en .ru lo hará en ruso.
A la hora de enviarse por e-mail, evita hacerlo a las direcciones
que contengan algunos de los siguientes textos: win, use, info,
help, admi, webm, micro, msn, hotm, suppor, syma, vir, trend,
panda, yaho, cafee, sopho, google y kasper.
Como efecto adicional, el gusano está programado para llevar un
ataque distribuido de denegación de servicio contra varios sitios
web de Hungría: www.2f.hu, www.parlament.hu, www.virusbuster.hu y
www.virushirado.hu.
De la observación de los mensajes enviados a VirusTotal, los más
repetidos suelen aparecer con el mismo texto en el campo Remite/De
y en el Asunto, mientras que como cuerpo suelen incluir una sóla
palabra, como por ejemplo "Surprise!" o "eBook!".
*---------------------------------------------------------------------------------------------*
Para mas informacion mirar las sgte pagina.
http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?lst=vis&idvirus=48433
mira lo que puede hacer un pequeño gusanito.
" Vistosos pero sabrosos " jajajaja un saludo