Una nuova variante del worm Zafi si sta diffondendo. A differenza della variante A Zafi.B utilizza i messaggi nelle lingue: Inglese, Italiano, Russo, Svedese, ...

Tool di Disinfezione

F-Secure ha rilasciato un Tool di disinfezione.
E' disponibile al dowload ai seguenti link:

ftp://ftp.f-secure.com/anti-virus/tools/f-zafi.exe

ftp://ftp.f-secure.com/anti-virus/tools/f-zafi.zip

Istruzioni per l'utilizzo del tool di disinfezione

ftp://ftp.f-secure.com/anti-virus/tools/f-zafi.txt

Tool per l'amministrazione centralizzata

http://www.f-secure.com/tools/f-zafi.jar

ftp://ftp.f-secure.com/anti-virus/tools/f-zafi.jar

Descrizione Dettagliata

Zafi.B si diffonde come un eseguibile compresso nel formato FSG! di dimensione 12800 byte. Una volta decompresso il worm risulta di circa 30 KiB.

Infezione

Quando è useguito Zafi.B copia se stesso nella cartella di sistema di Windows con un nome casuale e una estensione .DLL e .EXE.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run = "%SysDir%\<casuale>.exe"

Vari altri file sono creati nella cartella di sistema con un nome casuale e estensione .DLL. Il worm usa questi file per memorizzare i propri dati.
Zafi.B cerca in tutte le cartelle del sistema e copia se stesso come 'winamp 7.0 full_install.exe' o 'Total Commander 7.0 full_install.exe' in quelle che contengono 'share' o 'upload' nel proprio nome.

Propagazione via email

Zafi.B cerca all'interno della rubrica di Windows e di altri file per cercare di raccogliere degli indirizzi email. I file con le seguenti estensioni sono controllati

htm
wab
txt
dbx
tbb
asp
php
sht
adb
mbx
eml
pmr

Il worm utilizza il proprio motore SMTP per inviare i messaggi infetti. Questi messaggi sono scritti in diversi linguaggi

Sender: Anita
Subject: eIngyen SMS!
Attachment: "regiszt.php?3124freesms.index777.pif"
------------------------ hirdetés -----------------------------
A sikeres 777sms.hu és az axelero.hu támogatásával újra
indul az ingyenes sms küld? szolgáltatás! Jelenleg ugyan
korlátozott számban, napi 20 ingyen smst lehet felhasználni.
Küldj te is SMST! Nehány kattintás és a mellékelt regisztrációs
lap kitöltése után azonnal igénybevehet?! B?vebb információt
a www.777sms.hu oldalon találsz, de siess, mert az els? ezer
felhasználó között értékes nyereményeket sorsolunk ki!
------------------------ axelero.hu ---------------------------

Sender: Claudia
Subject: eImportante!
Attachment: "link.informacion.phpV23.text.message.pif"
Informacion importante que debes conocer, -

Sender: Katya
Subject: oKatya
Attachment: "view.link.index.image.phpV23.sexHdg21.pif"

ADAOIU
OEIE
Sender: .
Subject: eE-Kort!
Attachment: "link.ekort.index.phpV7ab4.kort.pif"
Mit hjerte banker for dig!

Sender: Marica
Subject: eEcard!
Attachment: "link.showcard.index.phpAv23.ritm.pif"
De cand te-am cunoscut inima mea are un nou ritm!

Sender: Anna
Subject: eE-vykort!
Attachment: "link.vykort.showcard.index.phpBn23.pif"
Till min Alskade...

Sender: Erica
Subject: eE-Postkort!
Attachment: "link.postkort.showcard.index.phpAe67.pif"

Vakre roser jeg sammenligner med deg...

Sender: Katarina
Subject: eE-postikorti!
Attachment: "link.postikorti.showcard.index.phpGz42.pif"

Iloista kesaa!
Sender: Magdolina
Subject: eAtviruka!
Attachment: "link.atviruka.showcard.index.phpGz42.pif"
Linksmo gimtadieno!
Sender: Beate
Subject: eE-Kartki!
Attachment: "link.kartki.showcard.index.phpVg42.pif"
W Dniu imienin...
Sender: @
Subject: eCartoe Virtuais!
Attachment: "link.cartoe.viewcard.index.phpYj39.pif"
Te amo...
Sender: Alice
Subject: eFlashcard fuer Dich!
Attachment: "link.flashcard.de.viewcard34.php.2672aB.pif"

Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...

Sender:
Subject: eEr staat een eCard voor u klaar!
Attachment: "postkaarten.nl.link.viewcard.index.phpG4a62.pif"

Hallo!
heeft u een eCard gestuurd via de website nederlandse
taal in het basisonderwijs...
U kunt de kaart ophalen door de volgende url aan te klikken of te
kopiren in uw browser link:
http://postkaarten.nl/viewcard.show53.index=04abD1
Met vriendelijke groet,
De redactie taalsite primair onderwijs...

Sender: Hanka
Subject: eElektronicka pohlednice!
Attachment: "link.seznam.cz.pohlednice.index.php2Avf3.pif"
Ahoj!
Elektronick pohlednice ze serveru http://www.seznam.cz

Sender: Claudine
Subject: eE-carte!
Attachment: "link.zdnet.fr.ecarte.index.php34b31.pif"
Vous a envoye une E-carte partir du site zdnet.fr
Vous la trouverez, l'adresse suivante link:
http://zdnet.fr/showcard.index.php34bs42
www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web
en 5 minutes, du dialogue en direct...

Sender: Francesca
Subject: eTi e stata inviata una Cartolina Virtuale!
Attachment: "link.cartoline.it.viewcard.index.4g345a.pif"

Ciao!
ha visitato il nostro sito, cartolina.it e ha creato una
cartolina virtuale per te! Per vederla devi fare click
sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a
Attenzione, la cartolina sara visibile sui nostri server per
2 giorni e poi verra rimossa automaticamente.

Sender: Jennifer
Subject: eYou`ve got 1 VoiceMessage!
Attachment: "link.voicemessage.com.listen.index.php1Ab2c.pif"
Dear Customer!
You`ve got 1 VoiceMessage from voicemessage.com website!
You can listen your Virtual VoiceMessage at the following link:
http://virt.voicemessage.com/index.listen.php2=35affv
or by clicking the attached link.
Send VoiceMessage! Try our new virtual VoiceMessage Empire!
Best regards: SNAF.Team (R).

Sender: Anita
Subject: eTessek mosolyogni!!!
Attachment: "meztelen csajok fociznak.flash.jpg.pif"

Ha ez a kép sem tud felviditani, akkor feladom!
Sok puszi:

Sender: Anita
Subject: eSoxor Csok!
Attachment: "anita.image043.jpg.pif"
Szia!
Aranyos vagy, jó volt dumcsizni veled a neten!
Remélem tetszem, és szeretném ha te is küldenél képet
magadról, addig is csók:

Sender: Jennifer
Subject: eDon`t worry, be happy!
Attachment: "www.ecard.com.funny.picture.index.nude.php356.pif"

Hi Honey!
I`m in hurry, but i still love ya...
(as you can see on the picture)
Bye - Bye:

Sender: David
Subject: eCheck this out kid!!!
Attachment: "jennifer the wild girl xxx07.jpg.pif"

Send me back bro, when you`ll be done...(if you know what i mean...)
See ya,

Zafi.B non invia messaggi agli indirizzi che contengono al proprio interno le seguenti stringhe:

win
use
info
help
admi
webm
micro
msn
hotm
suppor
syma
vir
trend
panda
yaho
cafee
sopho
google
kasper

Payload

Zafi.B ferma tutte le applicazioni che hanno 'firewall' o 'virus' all'interno del proprio nome.

Vari tool di Windows fra i quali Task Manager e l'Editor di Registro sono disabilitati quando il worm è attivo.

Rilevazione

Zafi.B è rilevato con gli aggiornamenti pubblicati l'11 Giugno 2004:

[FSAV_Database_Version]
Version=2004-06-11_01

Descrizione e analisi: Katrin Tocheva, Gergely Erdelyi, 11 Giugno 2004

F-Secure Corporation