McAfee alerta sobre gusano políglota

W32/Zafi.b@MM, en riesgo medio, el malware se propaga por correo electrónico y se autoenvía en el idioma que corresponda según el dominio de la dirección de destino.

MADRID: McAfee AVERT (Anti-Virus and Vulnerability Emergency Response Team), aumentó a nivel medio la clasificación de riesgo del recientemente descubierto W32/Zafi.b@MM, también conocido como Zafi.b. Se trata de un gusano que envía mensajes masivos creados con su propio motor SMTP, falsificando la dirección De:. También trata de propagarse a través de P2P, copiándose en carpetas del sistema local (que contienen las palabras ‘share’ o ‘upload’ en sus nombres). Los investigadores de McAfee AVERT detectaron el gusano el viernes 11 de junio y han recibido más de 150 informes del gusano Zafi.b de envíos de clientes y de correos generados por el virus, provenientes de clientes en todo el mundo.

Zafi.b se autopropaga en diferentes idiomas dependiendo del Top Level Doamin (TLD) – dominio -de las direcciones de correo destinatarias. Por ejemplo, un usuario con dirección de correo .com recibirá el cuerpo del mensaje en inglés, mientras que otro con .DE, lo recibirá en alemán, y así sucesivamente.

Síntomas
Zafi.b es un gusano que envía correos electrónicos masivos que, al ejecutarse, se copia a sí mismo dos veces en la carpeta %windir%system32 utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano, crea una clave de registro, de modo que los archivos infectados se ejecutan cada vez que se enciende un computador infectado. Zafi.b también puede buscar directorios de software antivirus y personal firewall y sobrescribir los ejecutables con una copia de sí mismo. Los usuarios deben eliminar inmediatamente cualquier mensaje de correo electrónico que incluya lo siguiente:

De: (la dirección De está falsificada) El gusano busca direcciones de correo electrónico en el disco duro local, recopilando direcciones de correo de archivos con las siguientes extensiones:

htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr.

Las direcciones recopiladas se guardan en cinco archivos en la carpeta system32, utilizando nombres aleatorios y la extensión de archivo .DLL.

Asunto: Re: (asunto original)
El mensaje puede contener diversos asuntos y cuerpos del mensaje.

Patología
Después de ejecutarse, Zafi.b se copia a sí mismo dos veces en la carpeta %windir%system32, utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano hace copias de sí mismo en los directorios de la unidad C: que contengan una de las siguientes cadenas: “share” o “upload” y utiliza uno de los siguientes nombres de archivo:
Total Commander 7.0 full_install.exe
En un intento de impedir la identificación y limpieza manuales de una máquina infectada, el gusano también trata de terminar procesos.


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022