x
OFERTA 48H
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA ESPECIAL
Si ya eres cliente de nuestra protección para particulares,
renueva ahora con un 50%
RENOVAR AHORA
x
OFERTA HALLOWEEN
Aprovéchate de unos
descuentos de miedo
COMPRA HOY AL 50%
x
OFERTA NAVIDAD
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 40%
x
OFERTA ESPECIAL
Compra el mejor antivirus
al mejor precio
COMPRA HOY AL 50%
x
OFERTA BLACKFRIDAY
Compra el mejor antivirus
al mejor precio
SOLO HOY HASTA -70%
x
OFERTA CYBERMONDAY
Compra el mejor antivirus
al mejor precio
(Solo para particulares)
SOLO HOY HASTA -70%
Active Scan. Analiza Gratis tu PC
Panda Protection

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Zafi.C

PeligrosidadPeligrosidad mediaDañoDañinoPropagaciónPoco extendido

Efectos 

Zafi.C realiza las siguientes acciones:

  • Intenta lanzar ataques de denegación de servicio (DoS) contra los sitios webwww.google.com, www.microsoft.com y www.miniszterelnok.hu, que pertenece al Primer Ministro de Hungría.
  • Evita que el usuario pueda ejecutar aplicaciones cuyo nombre contenga cualquiera de las siguientes cadenas de texto: reged, msconfig y task. Algunos ejemplos de dichas aplicaciones son la herramienta de edición del Registro de Windows y el Administrador de Tareas.
  • Intenta finalizar los procesos que contengan las cadenas firewall o virus.

Metodo de Infección 

Zafi.C crea los siguientes archivos:

  • SVCHOST.COM y SVCHOST.CON en el directorio de sistema de Windows. Estos archivos son copias del gusano.
  • SVCHOST.COX, donde X representa un dígito aleatorio del 1 al 9, en el directorio de sistema de Windows. Este archivo almacena las direcciones de correo electrónico que Zafi.C ha recogido en el ordenador afectado, y a las cuales enviará una copia de sí mismo.
  • TM.TXT en el directorio raíz de la unidad C:.

Zafi.C crea las siguientes entradas en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
    _svchost.con = %sysdir%\ svchost.com

    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Zafi.C consigue ejecutarse cada vez que Windows se inicia.
  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ UpdateZ3
    Zafi.C utiliza esta ruta para almacenar distintos parámetros.

>

Método de Propagación 

Zafi.C se propaga a través del correo electrónico y de los programas de intercambio de archivos punto a punto (P2P).

1.- Propagación a través del correo electrónico.

Zafi.C realiza el siguiente proceso:

  • Llega al ordenador en un mensaje de correo electrónico de características variables.
    Dicho mensaje puede estar escrito en distintos idiomas, dependiendo del dominio del receptor. En los casos no contemplados en esta lista, el mensaje estará escrito en inglés.

    Remitente:
    Zafi.C falsifica la dirección que aparece como remitente del mensaje de correo que provoca la infección. Esto puede dar lugar a confusiones. Si desea más información al respecto, pulse aquí.

    Nota: los asuntos de cualquiera de los mensajes podrían ir precedidos de Re:.

    Alemania (.de)
    Asunto: cualquiera de los siguientes:
    Fur dich!
    ich gerade an dich dachte!
    Ich liebe dich!
    Kusschen!

    Contenido: cualquiera de los siguientes:
    Ich wunsche dir einen schonen feierabend!
    Ich liebe dich!

    Ich hab dich so lieb!

    Fur dich, weil ich gerade an dich dachte! Kusschen!



    Chequia (.cz)
    Asunto:
    Miluji te!
    Contenido: es variable:
    Jen Tobe patri srdce me a vse, co vubec mam, vzdylaska je to
    nejcennejsi, co zivot dava nam.

    Chci Ti rict, ze jsi ma laska,
    miluji Te cim dal vic.
    Tyjsi to, co jsem vzdy chtela.
    Chci jen Tebe a nic vic.



    Dinamarca (.dk)
    Asunto: es variable:
    jeg elsker dig!
    Mit bjerte er dit til evig tid!

    Contenido: es variable:
    Oppe pa himlen
    langt vaek i det fjerne
    sidder den smukkeste
    lille stjerne

    Den er sendt
    fra mit hjerte
    ned til dig
    og hvisker stille
    godnat fra mig.



    España (.es)
    Asunto: alguno de los siguientes:
    Desde el primer momento!
    Te amo!

    Contenido: alguno de los siguientes:
    Aunque no es tan facil de decir
    y defino lo que siento con estas palabara:
    Te amo …

    Desde el primer momento en que te vi
    y hace tiempo te buscaba
    y ya te imaginaba asi
    Te amo …



    Finlandia (.fi)
    Asunto: es variable:
    Mina Rakastan Sinua!
    Rakastan sinua vahemman tanaan kuin huomenna!

    Contenido: es variable:
    Etsin sita oikeaa miljoonien joukosta,
    eika minulla ole muita vaatimuksia, kuin etta se olisit sina.

    Rakastan sinua vahemman tanaan kuin huomenna, mutta enemman kuin eilen.



    Francia (.fr)
    Asunto: hasta tres posibles asuntos:
    Je t`aime!
    L`amour!
    Merci!

    Contenido: es variable:
    La vie n’est qu ‘un passage…
    L’amour qu ‘un mirage…
    Mais I’amitie est un fil d’oc
    Qui ne se brise jamais.
    Merci d’etre la
    Je t’aime

    Tu es la pur moi.
    Je te sens pres de moi.
    Notre amitie
    m’est precieuse.
    Je t’aime beaucoup!



    Holanda (.nl)
    Asunto: puede ser uno de los siguientes:
    Een kus voor jou!!
    Ik ben echt niet vergeten!!
    Ik hou van jou!
    Ik hou zooooo veel van je!
    Zo verlang ik naar jou!

    Contenido: uno de los siguientes:
    Jouw kus is als een omhelzing.
    Ik denk zo vaak aan je...
    Zo verlang ik naar jou!

    Heb ik je wel eens gezegd dat ik van je hou!
    Ik hou zooooo veel van je !!!

    Ik ben echt niet vergeten ! Ik hou van jou!!!
    Een kus voor jou!



    Hungría (.hu)
    Asunto: hasta seis asuntos distintos:
    ajanlat!
    Allast kinal!
    kerem olvassa el!
    Media Services Kft!
    rendszerfigyelo pozicio betoltese!
    Tisztelt Leendo Munkatars!

    Contenido: siempre es el mismo:
    Tisztelt Leendõ Munkatárs!

    Önnek állast kinál a CNM, Média Services Kft,
    informatikai rendszerfigyelõ pozició betöltésére.
    Cégünk Magyarország egyik jelentõs informatikai vállalata,
    melyhez informatikában jártas embereket keresünk.
    Alapkövetelmények: Windows XP, 2000, valamint 98 hálózati
    ismeretek, valamint alapfoku angol tudás. Amenyiben elfogadja
    ajánlatunkat, kérem olvassa el a részleteket és jelezzen
    vissza a mielõbbi együttmüködés céljáért.

    Tisztelettel: Takács László, irodavezetõ.
    Email:
    %remitente falsificado%


    Italia (.it)
    Asunto: uno de los siguientes:
    Ogni grande amore comincia con un fiore!!
    Quando sto con te, il mio cuore!!!
    Ti amo!!

    Contenido: cualquiera de los siguientes:
    Dicono sia la primavera, invece sei tu che mi gai girar la testa.

    Ogni grande amore comincia con un fiore!

    Quando sto con te, il mio cuore!!



    Lituania (.lt)
    Asunto: es variable:
    As myliu tave!!
    As pakvaises del tavo emailu!

    Contenido: variable:
    Mano meile tau auga su lig kiekviena diena.

    As pakvaises del tavo emailu…
    As myliu tave!

    Tu esi mano virtualaus bucinio savininkas.



    Noruega (.no )
    Asunto:
    Jeg elsker deg!!
    Contenido: cualquiera de los siguientes:
    Min kjoerlighet til deg vokser mot himmelske hoyder!

    Roser er sode fioler er bla, Druer er sote og du er like sa.
    Jeg elsker deg!



    Polonia (.pl)
    Asunto: uno de los siguientes:
    Odnalezc chce Cie w tlumie!
    Kocham Cic!

    Contenido: variable:
    Odnalezc chce Cie w tlumie,
    ujrzec wsrod tysigca twe cudne oczy
    koloru morskiej wody
    a potem porwac na swoj statekzwany mitoscia
    by po chwili jak lisc na wietrze
    wolno opadac we dwoje na spokojne wody
    naszej przyszlosci.
    Kocham Cic!

    Niech bcdzie wyrazem
    mej czystej mitosci,
    wiatru kotysaniem
    i cichym wyznaniem...
    Kocham Cic!



    Rumania (.ro)
    Asunto: uno de los siguientes:
    Doar ca sa te iubesc!
    tu ma faci sa iubesc!
    Si stii de ce ?
    Te iubesc!

    Contenido: es variable:
    Tu ma faci sa rad, tu ma faci sa plang, tu ma faci sa simt ca
    traiesc, tu ma faci sa iubesc!

    Iubirea ta e singurul gand pentru care exist. Nu uita ca pentru
    tine traiesc. Si stii de ce ? Doar ca sa te iubesc.


    Suecia (.se)
    Asunto: hasta dos asuntos distintos:
    En kyss!
    Jag alskar dig!

    Contenido: dos posibles mensajes:
    En kyss ar ingen fara,
    En kyss ar inget brott
    Tva lappar mots ju bara
    men herre gud sa gott.

    Jag alskar alskar alskar dig
    fran det kan ingen hindra mig
    och vad som an hander
    i morgon och idag
    sa kan ingen alska dig mer an jag
    och vad som an hander
    med varlden och med mig
    sa kommer jag aldrig nagonsin
    att glomma dig...



    Para otros dominios, como por ejemplo .com, .net, .ru, etc.:
    Asunto: alguno de los siguientes:
    Call me!
    call us back!
    Can you!
    CNM, Technology Company!
    David Morgen, Office Manager!
    Expectant CoWorker!
    free mp3 list!
    full time job for you!
    give a little hope!
    Hey buddy!
    I thought maybe we can...!
    I'm off!
    Miss you baby!!
    Network monitoring!
    offer!
    okay!
    please hurry!
    Please read the full story!
    please read!
    Please, send forward this letter!
    Please, thanks!!
    send forward!
    send me one more!
    Thank you!
    very sick little girl!
    waiting for you!
    Whats you doing tomorrow?!

    Contenido: es variable:
    Dear Expectant CoWorker!
    We are offering a full time job for you.
    Our company (CNM, Technology Company,
    %año%)
    is the third fastest growing technology company in
    %año%.
    Job Type: System and Network monitoring.
    Requirements: Windows XP, 2000, 98 minimal expertise,
    and networking skills.
    If you accept our offer, please read the job details
    document for the full description, and call us back.
    Thank you,
    David Morgen, Office Manager# (CNM, Tech.
    %año%)
    Email:
    %remitente falsificado%

    Please, send forward this letter, and you can give a little hope
    to a very sick little girl, who is dying in the hospital, in
    %año%.
    Please read the full story, and send forward!!


    Hey buddy!
    Can you send me one more of your free mp3 list? Please,thanks!

    Your lover is waiting for you tomorrow, so please hurry, hurry because..

    Miss you baby!
    Whats you doing tomorrow? I'm off, so... I thought maybe we can...
    Call me okay, before it's too late...



    Archivo adjunto: el nombre del archivo adjunto es variable, y está compuesto de cuatro partes:
    - Dos palabras de la siguiente lista, TITLE, DOCUMENT, WORD, LETTER, MESSAGE, MAIL, ATTACHMENT, separadas por un guión bajo y seguidas de .DOC o .TXT.
    - El signo =.
    - Un texto aleatorio, que depende de la extensión del dominio de correo. Los siguientes son sólo algunos ejemplos:
    Rap CD list
    Eminem free MP3 websites 2004
    listed okt16
    Russia Korea England Australia China Japan Canada 2004
    aeiouaeioubcdfghjklmnprstuvzwbcdfghjklmnprstuvzw
    Our company (CNM, Technology Company,)is the third fastest growing technology company in. Job Type: System and Network monitoring. Requirements: Windows XP, 2000, 98 minimal expertise,and networking
    Your lover is waiting for you tomorrow, so please hurry, hurry because..Miss you baby! Whats you doing tomorrow_I'm off, so... I thought maybe we can...Call me okay, before it's too late...
    Min kjoerlighet til deg vokser mot himmelske hoyder! Roser er sode fioler er bla, Druer er sote og du er like sa. Jeg elsker deg!
    Jouw kus is als een omhelzing. Ik denk zo vaak aan je... Zo verlang ik naar jou! Heb ik je wel eens gezegd dat ik van je hou! Ik hou zooooo veel van je !!! Ik ben echt niet vergeten ! Ik hou van jou

    - Extensión: EXE o SCR.
    Por ejemplo: title_word.doc=listed okt16.exe, message_attachment.txt=aeiouaeioubcdfghjklmnprstuvzwbcdfghjklmnprstuvzw.scr, etc.

  • El ordenador es afectado cuando el archivo adjunto es ejecutado.
  • Zafi.C busca direcciones de correo en todos los archivos que tengan alguna de las siguientes extensiones: ADB, ASP, DBX, EML, HTM, MBX, PHP, PMR, SHT, TBB, TXT y WAB.
  • Zafi.C envía una copia de sí mismo a todas las direcciones que ha recogido, empleando su propio motor SMTP.
    Sin embargo, no se envía a aquellas direcciones que contengan alguna de las siguientes cadenas:
    aol, cafee, google, help, hoo.com, hotmail.co, info, kasper, micro, msn, panda, sopho, suppor, syma, trend, vir y webm.

 

2.- Propagación a través de programas P2P.

Zafi.C realiza el siguiente proceso:

  • Crea copias de sí mismo en directorios que contengan alguna de las siguientes cadenas de texto: share, upload y downlo.
    De este modo, intenta realizar copias de sí mismo en los directorios compartidos de los programas de intercambio de archivos.
  • Realiza una copia de sí mismo con el nombre doom3 keygen.exe.
  • Otros usuarios de estos programas podrán acceder de manera remota a estos directorios compartidos. Así, se descargarán voluntariamente en su ordenador alguno de los archivos creados por Zafi.C, pensando que se trata de aplicaciones informáticas interesantes, etc. En realidad, se estarán descargando en sus ordenadores una copia del gusano.
  • Al ejecutar el archivo descargado, esos otros ordenadores quedarán afectados por Zafi.C.

Otros Detalles  

Zafi.C tiene un tamaño de 15993 Bytes, y está comprimido mediante FSG v2.0.

Zafi.C crea el mutex 2\UpdateZ3 para asegurarse de que haya únicamente una copia del gusano activa en cada momento.

>