• 21/12/2025
ALERTA

Riesgo medio para el gusano Zafi.b

El virus enví­a mensajes masivos creados con su propio motor SMTP. También se propaga copiándose en carpetas del sistema local. Utiliza las extensiones .EXE y .DLL. El mensaje puede contener diversos asuntos y cuerpos del mensaje
iProfesional | Actualidad |
Por iProfesional
14/06/2004 - 03:00hs
Riesgo medio para el gusano Zafi.b

14 de junio- Network Associates aumentó a nivel medio la clasificación de riesgo del recientemente descubierto W32/Zafi.b@MM, también conocido como Zafi.b.

Se trata de un gusano que enví­a mensajes masivos creados con su propio motor SMTP, falsificando la dirección De:.

También trata de propagarse a través de P2P, copiándose en carpetas del sistema local (que contienen las palabras ‘share’ o ‘upload’ en sus nombres). Los investigadores de McAfee AVERT detectaron el gusano el viernes 11 de junio y ya recibieron más de 150 informes del gusano Zafi.b de enví­os de clientes y de correos generados por el virus, provenientes de clientes en todo el mundo.

Sí­ntomas

Zafi.b es un gusano que enví­a correos electrónicos masivos que, al ejecutarse, se copia a sí­ mismo dos veces en la carpeta %windir%system32 utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano, que se enví­a a sí­ mismo en diferentes idiomas, crea una clave de registro, de modo que los archivos infectados se ejecutan cada vez que se enciende un computador infectado. Zafi.b también puede buscar directorios de software antivirus y personal firewall y sobrescribir los ejecutables con una copia de sí­ mismo. Los usuarios deben eliminar inmediatamente cualquier mensaje de correo electrónico que incluya lo siguiente:

De: (la dirección De está falsificada) El gusano busca direcciones de correo electrónico en el disco duro local, recopilando direcciones de correo de archivos con las siguientes extensiones:

-- htm
-- wab
-- txt
-- dbx
-- tbb
-- asp
-- php
-- sht
-- adb
-- mbx
-- eml
-- pmr

Las direcciones recopiladas se guardan en cinco archivos en la carpeta system32, utilizando nombres aleatorios y la extensión de archivo ..DLL.

Asunto: Re: (asunto original)

El mensaje puede contener diversos asuntos y cuerpos del mensaje.

Patologí­a

Después de ejecutarse, Zafi.b se copia a sí­ mismo dos veces en la carpeta %windir%system32, utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano hace copias de sí­ mismo en los directorios de la unidad C: que contengan una de las siguientes cadenas: "share" o "upload" y utiliza uno de los siguientes nombres de archivo:

-- Total Commander 7.0 full_install.exe
-- winamp 7.0 full_install.exe

En un intento de impedir la identificación y limpieza manuales de una máquina infectada, el gusano también trata de terminar procesos.

Cura

Para obtener información inmediata y una cura para este virus, consulte el sitio de McAfee AVERT de Network Associates, ubicado en http://vil.nai.com/vil/content/v_125301.htm. Los usuarios de los productos de McAfee Security deben actualizar sus sistemas en esa página.