Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Zafi.D
PeligrosidadDañoPropagación

De un vistazo Detalles técnicos Solución

Efectos

Zafi.D realiza las siguientes acciones:

Tiene características de backdoor, dado que abre el puerto 8181 y espera que un archivo sea transferido a través del mismo. Después, ejecuta este archivo, que generalmente será otro malware.
Impide el acceso a aquellas aplicaciones que contengan las cadenas de texto regedit, msconfig y task.
Muestra el siguiente mensaje de error la primera vez que es ejecutado:

Metodo de Infección

Zafi.D crea los siguientes archivos:

NORTON UPDATE.EXE en el directorio de sistema de Windows. Este archivo es una copia del gusano.
Varios archivos con nombre aleatorio y extensión DLL en el directorio de sistema de Windows. Estos archivos son copias del gusano.
S.CM en el directorio raíz de la unidad C:. Este archivo contiene una lista de tareas programadas.
Varios archivos con extensión DLL, que contienen las direcciones de correo electrónico que Zafi.D recoge en el ordenador afectado.
Varias copias de sí mismo en todos los directorios cuya ruta completa contiene las cadenas de texto share, upload o music.

Zafi.D crea las siguientes entradas en el Registro de Windows:

HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
Wxp4 = %sysdir%\ Norton Update.exe
donde %sysdir% es el directorio de sistema de Windows.
Mediante esta entrada, Zafi.D consigue ejecutarse cada vez que Windows se inicia.
HKEY_LOCAL_MACHINE \ SOFTWARE\ Microsoft\ Wxp4
Zafi.D utiliza esta entrada para guardar diversos parámetros.

Método de Propagación

Zafi.D se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través del correo electrónico.

Zafi.D realiza el siguiente proceso:

Llega al ordenador en un mensaje de correo electrónico de características variables.
Dicho mensaje puede estar escrito en distintos idiomas, dependiendo del dominio del receptor. En los casos no contemplados en esta lista, el mensaje estará escrito en inglés.
Estos mensajes se hacen pasar por felicitaciones navideñas.

Nota: cualquiera de los asuntos que se mencionan pueden ir precedidos de las cadenas de texto Re:, Fw:, o pueden incluso estar en blanco.

Hungría (.hu):
Remitente:
T. Maria
Asunto:
boldog karacsony...
Contenido:
Kellemes Ünnepeket!

España (.es) y Méjico (.mx):
Remitente:
N. Fernandez
Asunto:
Feliz Navidad!
Contenido:
Feliz Navidad!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto NAVIDAD.

Dinamarca (.dk):
Remitente:
V. Jensen
Asunto:
Christmas Kort!
Contenido:
Glaedelig Jul!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto EKORT.
Por ejemplo:

Suecia (.se):
Remitente:
J. Anderson
Asunto:
Christmas Vykort!
Contenido:
God Jul!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto VYKORT.

Noruega (.no):
Remitente:
M. Emma
Asunto:
Christmas Postkort!
Contenido:
God Jul!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto POSTKORT.

Finlandia (.fi):
Remitente:
M. Virtanen
Asunto:
Christmas postikorti!
Contenido:
Iloista Joulua!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto POSTIKORTI.

Lituania (.lt):
Remitente:
C. Lina
Asunto:
Christmas Atviruka!
Contenido:
Naujielji Metai!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto ATVIRUKA.

Polonia (.pl):
Remitente:
S. Ewa
Asunto:
Christmas - Kartki!
Contenido:
Wesolych Swiat!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto KARTKI.

Alemania (.de) y Austria (.at):
Remitente:
H. Irene
Asunto:
Weihnachten card
Contenido:
Fröhliche Weihnachten!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto WEIHNACHTEN.

Holanda (.nl):
Remitente:
R. Cornel
Asunto:
Prettige Kerstdagen!
Contenido:
Prettige Kerstdagen!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto KERTSDAGEN.

Chequia (.cz):
Remitente:
V. Dusan
Asunto:
Christmas pohlednice
Contenido:
Veselé Vánoce!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto POHLEDNICE.

Francia (.fr):
Remitente:
J. Martin
Asunto:
Joyeux Noel!
Contenido:
Joyeux Noel!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto ECARTE.

Italia (.it):
Remitente:
T. Antonio
Asunto:
Buon Natale!
Contenido:
Buon Natale!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto CARTOLINE.

Rumanía (.ru):
Remitente:
V. Tatyana
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto CARD.

Para cualesquiera otros dominios no incluidos en la lista anterior, el mensaje de correo electrónico tendrá las siguientes características:
Remitente:
Pamela M
Asunto:
Merry Christmas!
Contenido:
Happy Holiday!
Archivo adjunto:
El nombre del archivo adjunto contiene la cadena de texto POSTCARD.
Por ejemplo:

El archivo adjunto siempre tendrá alguna de las siguientes extensiones: BAT, CMD, COM, PIF o ZIP.
El ordenador es afectado cuando el archivo adjunto es ejecutado.
Zafi.D busca direcciones de correo en todos los archivos que tengan alguna de las siguientes extensiones: ADB, ASP, DBX, EML, FPT, HTM, INB, MBX, PHP, PMR, SHT, TBB, TXT y WAB.
Zafi.D envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, secur, sopho, suppor, syman, trend, use, viru, webm, win y yaho.

2.- Propagación a través de programas P2P.

Zafi.D realiza el siguiente proceso:

Crea copias de sí mismo en directorios que contengan alguna de las siguientes cadenas de texto: share, upload y music.
De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos.
Realiza copias de sí mismo con los nombres:
ICQ 2005a new!.exe
winamp 5.7 new!.exe
Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Zafi.D, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Zafi.D.

Otros Detalles

Zafi.D tiene un tamaño de 11745 Bytes, y está comprimido mediante FSG.

Panda Security. Nueva gama 2012. Renueva ahora.

Productos antivirus

Soporte técnico

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info