Zafi.B
PeligrosidadDañoPropagación

Efectos 

Zafi.B realiza las siguientes acciones:

• Realiza ataques de Denegación de Servicio (DoS) contra las siguientes páginas web:
  www.parlament.hu
  www.virusbuster.hu
  www.virushirado.hu
  www.2f.hu
• Busca directorios en los que se encuentren instalados programas antivirus. Si encuentra alguno, sobrescribe los archivos ejecutables con copias de sí mismo. De este modo, el usuario se encontrará desprotegido frente al ataque de otros malware, y cada vez que intente utilizar su antivirus, estará ejecutando inadvertidamente a Zafi.B.
• Busca procesos que contengan alguna de las siguientes cadenas de texto: msconfig, task y regedit. Si encuentra alguno, lo finaliza.
  De este modo, el usuario no podrá trabajar con el Administrador de tareas, el Registro de Windows, etc.
• Del mismo modo, también busca procesos que incluyan las cadenas virus o firewall, e intenta finalizarlos. De este modo, trata de terminar los procesos relacionados con programas antivirus y firewalls.
• Comprueba si hay disponible una conexión a Internet, intentando conectarse a las páginas web www.google.com o www.microsoft.com.
• Intenta abrir alguna de las páginas web almacenadas en la siguiente ruta del Registro de Windows, cada vez que es ejecutado:
  HKEY_CURRENT_USER\ Software\ Microsoft\ Internet Explorer\ TypedURLs

Metodo de Infección 

Zafi.B crea los siguientes archivos en el directorio de sistema de Windows:

• Un archivo con nombre aleatorio y extensión EXE. Este archivo es una copia del gusano.
• Un archivo con nombre aleatorio y extensión DLL. Este archivo, que es una DLL (Librería de Enlace Dinámico), es una copia del gusano.
• Diez archivos con extensión DLL, que contienen direcciones de correo a las que Zafi.B enviará una copia de sí mismo.

Zafi.B crea las siguientes entradas en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
  _Hazafibb = %sysdir%\ %nombre%.exe
  donde %sysdir% es el directorio de sistema de Windows, y %nombre% es el nombre aleatorio del archivo creado por el gusano.
  Mediante esta entrada, Zafi.B consigue ejecutarse cada vez que se inicia Windows.
• Adicionalmente, también crea varias entradas con el siguiente patrón:
  HKEY_LOCAL_MACHINE\ Software\ Microsoft\ _Hazafibb
  %XX% = %valor%
  donde %XX% son dos caracteres alfanuméricos (por ejemplo, b1, b2, b3, bA, cB, etc.), y %valor% es generalmente alguna de las DLLs creadas por Zafi.B, aunque también podría referirse a directorios de programas instalados, direcciones web o números.

Método de Propagación 

Zafi.B se propaga a través del correo electrónico y de los programas de intercambio de ficheros punto a punto (P2P).

1.- Propagación a través del correo electrónico.

Zafi.B realiza el siguiente proceso:

• Llega al ordenador en un mensaje de correo electrónico de características variables. Dicho mensaje puede estar escrito en distintos idiomas, dependiendo del dominio del receptor:
  at (Austria), cz (República Checa), de (Alemania), dk (Dinamarca), fi (Finlandia), fr (Francia), hu (Hungría), it (Italia), lt (Liechtenstein), mx (Méjico), nl (Holanda), no (Noruega), pl (Polonia), pt (Portugal), ro (Rumania), ru (Rusia), se (Suecia), sp (España).
  En los casos no contemplados en esta lista, el mensaje estará escrito en inglés.
  
  Mensaje 1:
  Remitente:
  Anita
  Asunto:
  Ingyen SMS!
  Contenido:
  --------------------- hirdetés --------------------------
  A sikeres 777sms.hu és az axelero.hu támogatásával újra
  indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
  korlátozott számban, napi 20 ingyen smst lehet
  felhasználni. Küldj te is SMST! Nehány kattintás és a
  mellékelt regisztrációs lap kitöltése után azonnal
  igénybevehet?! B?vebb információt a www .777sms .hu
  oldalon találsz, de siess, mert az els? ezer
  felhasználó között értékes nyereményeket sorsolunk ki!
  --------------------- axelero.hu ------------------------
  Archivo adjunto:
  REGISZT.PHP?3124FREESMS.INDEX777.PIF
  
  
  Mensaje 2:
  Remitente:
  Claudia
  Asunto:
  Importante!
  Contenido:
  Informacion importante que debes conocer, -
  Archivo adjunto:
  LINK.INFORMACION.PHPV23.TEXT.MESSAGE.PIF
  
  Mensaje 3:
  Remitente:
  Katya
  Asunto:
  oKatya
  Contenido:
  ADAOIU
  OEIE
  Archivo adjunto:
  VIEW.LINK.INDEX.IMAGE.PHPV23.SEXHDG21.PIF
  
  Mensaje 4:
  Remitente:
  .
  Asunto:
  E-Kort!
  Contenido:
  Mit hjerte banker for dig!
  Archivo adjunto:
  LINK.EKORT.INDEX.PHPV7AB4.KORT.PIF
  
  Mensaje 5:
  Remitente:
  Marica
  Asunto:
  Ecard!
  Contenido:
  De cand te-am cunoscut inima mea are un nou ritm!
  Archivo adjunto:
  LINK.SHOWCARD.INDEX.PHPAV23.RITM.PIF
  
  Mensaje 6:
  Remitente:
  Anna
  Asunto:
  E-vykort!
  Contenido:
  Till min Alskade...
  Archivo adjunto:
  LINK.VYKORT.SHOWCARD.INDEX.PHPBN23.PIF
  
  Mensaje 7:
  Remitente:
  Erica
  Asunto:
  E-Postkort!
  Contenido:
  Vakre roser jeg sammenligner med deg...
  Archivo adjunto:
  LINK.POSTKORT.SHOWCARD.INDEX.PHPAE67.PIF
  
  Mensaje 8:
  Remitente:
  Katarina
  Asunto:
  E-postikorti!
  Contenido:
  Iloista kesaa!
  Archivo adjunto:
  LINK.POSTIKORTI.SHOWCARD.INDEX.PHPGZ42.PIF
  
  Mensaje 9:
  Remitente:
  Magdolina
  Asunto:
  Atviruka!
  Contenido:
  Linksmo gimtadieno!
  Archivo adjunto:
  LINK.ATVIRUKA.SHOWCARD.INDEX.PHPGZ42.PIF
  
  Mensaje 10:
  Remitente:
  Beate
  Asunto:
  E-Kartki!
  Contenido:
  W Dniu imienin...
  Archivo adjunto:
  LINK.KARTKI.SHOWCARD.INDEX.PHPVG42.PIF
  
  Mensaje 11:
  Remitente:
  @
  Asunto:
  Cartoe Virtuais!
  Contenido:
  Te amo...
  Archivo adjunto:
  LINK.CARTOE.VIEWCARD.INDEX.PHPYJ39.PIF
  
  Mensaje 12:
  Remitente:
  Alice
  Asunto:
  Flashcard fuer Dich!
  Contenido:
  Hallo!
  hat dir eine elektronische Flashcard geschickt.
  Um die Flashcard ansehen zu koennen, benutze in
  deinem Browser einfach den nun folgenden link:
  http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
  Viel Spass beim Lesen wuenscht Ihnen ihr...
  Archivo adjunto:
  LINK.FLASHCARD.DE.VIEWCARD34.PHP.2672AB.PIF
  
  Mensaje 13:
  Remitente: está vacío.
  Asunto:
  Er staat een eCard voor u klaar!
  Contenido:
  Hallo!
  heeft u een eCard gestuurd via de website nederlandse
  taal in het basisonderwijs...
  U kunt de kaart ophalen door de volgende url aan te
  klikken of te kopiren in uw browser link:
  http://postkaarten.nl/viewcard.show53.index=04abD1
  Met vriendelijke groet,
  De redactie taalsite primair onderwijs...
  Archivo adjunto:
  POSTKAARTEN.NL.LINK.VIEWCARD.INDEX.PHPG4A62.PIF
  
  Mensaje 14:
  Remitente:
  Hanka
  Asunto:
  Elektronicka pohlednice!
  Contenido:
  Ahoj!
  Elektronick pohlednice ze serveru
  http://www.seznam.cz
  Archivo adjunto:
  LINK.SEZNAM.CZ.POHLEDNICE.INDEX.PHP2AVF3.PIF
  
  Mensaje 15:
  Remitente:
  Claudine
  Asunto:
  E-carte!
  Contenido:
  vous a envoye une E-carte partir du site zdnet.fr
  Vous la trouverez, l"adresse suivante link:
  http://zdnet.fr/showcard.index.php34bs42
  www.zdnet.fr, plus de 3500 cartes virtuelles, vos
  pages web en 5 minutes, du dialogue en direct...
  Archivo adjunto:
  LINK.ZDNET.FR.ECARTE.INDEX.PHP34B31.PIF
  
  Mensaje 16:
  Remitente:
  Francesca
  Asunto:
  Ti e stata inviata una Cartolina Virtuale!
  Contenido:
  Ciao!
  ha visitato il nostro sito, cartolina.it e ha creato
  una cartolina virtuale per te! Per vederla devi fare
  click sul link sottostante:
  http://cartolina.it/asp.viewcard=index4g345a
  Attenzione, la cartolina sara visibile sui nostri server
  per 2 giorni e poi verra rimossa automaticamente.
  Archivo adjunto:
  LINK.CARTOLINE.IT.VIEWCARD.INDEX.4G345A.PIF
  
  Mensaje 17:
  Remitente:
  Jennifer
  Asunto:
  You`ve got 1 VoiceMessage!
  Contenido:
  Dear Customer!
  You`ve got 1 VoiceMessage from voicemessage.com
  website! You can listen your Virtual VoiceMessage at
  the following link:
  http://virt.voicemessage.com/index.listen.php2=35affv
  or by clicking the attached link.
  Send VoiceMessage! Try our new virtual VoiceMessage
  Empire!
  Best regards: SNAF.Team (R).
  Archivo adjunto:
  LINK.VOICEMESSAGE.COM.LISTEN.INDEX.PHP1AB2C.PIF
  
  Mensaje 18:
  Remitente:
  Anita
  Asunto:
  Tessek mosolyogni!!!
  Contenido:
  Ha ez a kép sem tud felviditani, akkor feladom!
  Sok puszi:
  Archivo adjunto:
  MEZTELEN CSAJOK FOCIZNAK.FLASH.JPG.PIF
  
  Mensaje 19:
  Remitente:
  Anita
  Asunto:
  Soxor Csok!
  Contenido:
  Szia!
  Aranyos vagy, jó volt dumcsizni veled a neten!
  Remélem tetszem, és szeretném ha te is küldenél képet
  magadról, addig is csók:
  Archivo adjunto:
  ANITA.IMAGE043.JPG.PIF
  
  Mensaje 20:
  Remitente:
  Jennifer
  Asunto:
  Don`t worry, be happy!
  Contenido:
  Hi Honey!
  I`m in hurry, but i still love ya...
  (as you can see on the picture)
  Bye - Bye:
  Archivo adjunto:
  WWW.ECARD.COM.FUNNY.PICTURE.INDEX.NUDE.PHP356.PIF
  
  Mensaje 21:
  Remitente:
  David
  Asunto:
  Check this out kid!!!
  Contenido:
  Send me back bro, when you`ll be done...(if you
  know what i mean...)
  See ya, David
  Archivo adjunto:
  JENNIFER THE WILD GIRL XXX07.JPG.PIF
  
  Nota: en algunos casos, el archivo adjunto será alguno de los siguientes: SURPRISE.COM, SURPRISE.EXE o SURPRISE.PIF.
  
  
• El ordenador es afectado cuando el archivo adjunto es ejecutado.
• Zafi.B busca direcciones de correo en todos los archivos que tengan alguna de las siguientes extensiones: ADB, ASP, DBX, EML, HTM, MBX, PHP, PMR, SHT, TBB, TXT y WAB.
• Zafi.B envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
  Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
  admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, use, vir, webm, win y yaho.

2.- Propagación a través de programas P2P.

Zafi.B realiza el siguiente proceso:

• Crea copias de sí mismo en directorios que contengan alguna de las siguientes cadenas de texto: share y upload.
  De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de ficheros.
• Realiza copias de sí mismo con los siguientes nombres de archivo:
  Total Commander 7.0 full_install.exe
  winamp 7.0 full_install.exe
• Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los ficheros creados por Zafi.B, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
• Al ejecutar el fichero descargado, esos otros ordenadores quedarán afectados por Zafi.B.

Otros Detalles  

Zafi.B tiene un tamaño de 12800 Bytes, y está comprimido.

Cuando se propaga a otros ordenadores, Zafi.B cambia su fecha de compilación, lo que le otorga cierta capacidad de polimorfismo, con el fin de dificultar su detección.