Página de inicio de INTECO-CERT, Centro de Respuesta a Incidentes en TI para PYMEs y Ciudadanos

  • Utiles gratuitos
  • Formación seguridad pymes
  • Gestión de incidencias
  • Suscripción RSS/Boletines

Enlace a la red social de Facebook Enlace a la red social de Twitter Enlace al canal de Inteco-Cert en el portal de videos YouTube

Enlace al canal de Inteco-Cert en Scribd Enlace al canal de Inteco-Cert en Slideshare

Encuesta de Calidad de INTECO-CERT

  • 1.- ¿Ha encontrado en el portal de INTECO-CERT la información que buscaba? *
  • 2.- ¿Dicha información le ha resultado útil / interesante? *

Detalle de virus

null

Zafi.D es un gusano que se difunde mediante el envío masivo de mensajes de correo electrónico y redes de intercambio de archivos P2P (entre pares). Utiliza mensajes con el aspecto de una felicitación navideña en varios idiomas, que escoge según el dominio de la dirección de correo electrónico. Intenta detener programas de seguridad como cortafuegos y antivirus, y de monitorización, como el Administrador de Tareas o el Editor del Registro de Windows. También puede intentar abrir una puerta trasera en el ordenador infectado.

Detalles técnicos

  • Difusión:
  • Daño:
  • Dispersibilidad:
  • Fecha de alta: 14/12/2004
  • Última actualización: 10/12/2009

Arriba

Propagación

Capacidad de autopropagación:

Se propaga de las siguientes maneras:

Correo Electrónico Masivo

Se envía masivamente mediante mensajes de correo electrónico, habitualmente a todas las direcciones capturadas en el sistema infectado.

Redes de Compartición de Ficheros P2P

Se difunde por redes de compartición de ficheros P2P (peer to peer).

Arriba

Infección/Efectos

Cuando Zafi.D se ejecuta, realiza las siguientes acciones:

Otros detalles

Efectos

Cuando el gusano es ejecutado muestra el siguiente mensaje (falso):


Imagen de Panda Sw

Para difucultar la identificación manual del gusano intenta impedir la ejecución de procesos en cuyo nombre figuren las siguientes cadenas:

  • reged
  • msconfig
  • task

Abre el puerto 8181 del equipo infectado, y espera que un fichero sea transferido a través del mismo.
Seguidamente ejecuta este archivo, que generalmente se corresponde con otra amenaza.

Busca ficheros con extensión .exe en carpetas cuyos nombres contengan las siguientes cadenas:

  • syman
  • viru
  • trend
  • secur
  • panda
  • cafee
  • sopho
  • kasper

Instalación

Este gusano crea los siguientes ficheros en la carpeta %windir%\system32:

  • C:\WINNT\system32\ .EXE - 11.745 bytes
  • C:\WINNT\system32\Norton Update.exe - 11.745 bytes
  • C:\WINNT\system32\[caracteres aleatorios] .DLL - (gusano comprimido)
  • C:\s.cm - 20,552 bytes (módulo dll de winzipe)
Donde %windir% es la carpeta de instalación de Windows, por defecto C:\Windows en Windows XP.

Crea el siguiente valor: 

 "Wxp4" = "%System%\Norton Update.exe"
bajo la clave del registro: 
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
para ser ejecutado durante el inicio de sesión del usuario.

Además crea varias entradas bajo la clave 

 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4
donde almacena su información.

Difusión por correo electrónico

Este virus recoge direcciones de correo electrónico de ficheros del PC infectado con las siguientes extensiones:

  • htm
  • wab
  • txt
  • dbx
  • tbb
  • asp
  • php
  • sht
  • adb
  • mbx
  • eml
  • pmr
  • fpt
  • inb
que guarda en la carpeta de sistema de Windows usando nombres aleatorios con extensión DLL.

Utiliza su propio motor SMTP para enviar mensajes con las siguientes características:

  • Remitente: (Falsificado)
  • Asunto: (Uno de los siguientes)
    • Merry Christmas!
    • boldog karacsony...
    • Feliz Navidad!
    • ecard.ru
    • Christmas Kort!
    • Christmas Vykort!
    • Christmas Postkort!
    • Christmas postikorti!
    • Christmas - Kartki!
    • Weihnachten card.
    • Prettige Kerstdagen!
    • Christmas pohlednice
    • Joyeux Noel!
    • Buon Natale!
  • Mensaje: Uno de los siguientes:
    • Happy HollyDays!
      :) [Remitente]
    • Kellemes Unnepeket!
      :) [Remitente]
    • Feliz Navidad!
      :) [Remitente]
    • :) [Remitente]
    • Glaedelig Jul!
      :) [Remitente]
    • God Jul!
      :) [Remitente]
    • God Jul!
      :) [Remitente]
    • Iloista Joulua!
      :) [Remitente]
    • Naulieji Metai!
      :) [Remitente]
    • Wesolych Swiat!
      :) [Remitente]
    • Fröhliche Weihnachten!
      :) [Remitente]
    • Prettige Kerstdagen!
      :) [Remitente]
    • Veselé Vánoce!
      :) [Remitente]
    • Joyeux Noel!
      :) [Remitente]
    • Buon Natale!
      :) [Remitente]
  • Adjunto: de nombre variable, pero suele contener la palabra "postal" en el idioma del resto del mensaje y doble extensión, siendo la última .bat, .cmd, .com, .pif, .zip

El gusano elije el idioma correspondiente a los dominios:

.hu .sp .ru .dk .ro .se .no .fi .lt .pl .pt .de .nl .cz .fr .it .mx .at .es

y evita enviarse a direcciones que contengan las siguientes cadenas:

yaho google win use info help admi ebm micro msn hotm suppor syman viru trend secur panda cafee sopho kasper.

El aspecto de los mensajes es tal que el siguiente:


Imagen de McAfee

Difusión por redes de intercambio de ficheros.

Zafi.D se copia en todos los directorios del equipo infectado cuyos nombres contengan las cadenas:

  • share
  • upolad
  • music
con los nombres:
  • winamp 5.7 new!.exe
  • ICQ 2005a new!.exe

Enlaces Asociados:

Arriba

Contramedidas

Desinfección
  1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)

    Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea Deshabilitar restauración del sistema en Windows XP y Windows Me

  2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos . Repare o borre el fichero infectado.
    Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
    Nota: A Menudo los antivirus informan de que 'no puede reparar un fichero' en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

    Si no puede eliminar el virus, arranque Windows en modo seguro. Para ello presione F8 repetidamente durante el arranque del PC hasta que aparezca el menú de arranque de Windows, y elijo "Modo seguro" o "Modo a prueba de fallos", según la version de Windows. Vuelva a ejecutar el antivirus en este modo.

  3. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro . Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.

    Elimine el siguiente valor: 

     "Wxp4" = "%System%\Norton Update.exe"
    bajo la clave del registro: 
     HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    Elimne la siguiente clave junto con todo su contenido: 
     HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

  4. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
Sober.O, las siguientes herramientas específicas ofrecidas por algunos fabricantes de antivirus:
  • Symantec - descargar el fichero FxErkez.exe .
  • McAfee - descargar el fichero Stinger.exe .
  • Nod32 - descargar el fichero ZFDCLEAN.ZIP .
  • Trend Micro - descargar el fichero sysclean.com .
  • Panda Software - pulsar sobre Zafi.D y registrarse para la descarga (si no lo ha hecho antes).
  • BitDefender - descargar herramienta en la misma linea que se encuentra Zafi.D .

Arriba