 |
|||||||||
|
|||||||||
| SYMBOLIC Antivirus Security Division |
| 14 Dicembre 2004 |
| NOME: Zafi.D |
| ALIAS: W32/Zafi.D@mm, Email-Worm.Win32.Zafi.d |
Descrizione Breve Zafi.D è stato rilevato il 14 Dicembre 2004. A differenza della variante A, Zafi.D utilizza per diffondersi messaggi scritti in una delle seguenti lingue: inglese, italiano, spagnolo, russo, svedese e parecchie altre lingue. Il Worm si trasmette in un messaggio di Auguri di Natale e in allegato un file con una delle seguenti estensioni: .pif, .cmd, .bat, .com Quando il worm viene eseguito, potrebbe mostrare un falso messaggio di errore: "Error in packed file!" Descrizione Dettagliata Zafi.D si diffonde come un eseguibile compresso nel formato FSG! di dimensione 11745 byte. Una volta decompresso il worm risulta di circa 30 KiB Infezione del Sistema Quando viene eseguito Zafi.D crea una copia di se stesso nella cartella di sistema di Windows come file .DLL con nome casuale e "Norton Update.exe". Il file con estensione .exe viene aggiunto al registro di sistema nella seguente chiave: [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Zafi.D crea un mutex con nome "Wxp4" per garantire che non ci siano in esecuzioni più copie del worm. Alcuni file supplementari vengono creati nella cartella di sistema con nome casuale ed estensione DLL. Zafi.D elenca tutte le cartelle del sistema e crea una copia di se stesso con nome "winamp 5.7 new!.exe' oppure 'ICQ 2005a new!.exe'', nelle cartelle che contengono la stringa 'share' o 'upload' Zafi.D, prima di propagarsi, esegue una scansione del disco rigido cercando di collezionare indirizzi e-mail. Saranno controllati i file con le seguenti estensioni: htm Il worm utilizza il proprio motore SMTP per inviare i messaggi infetti. Questi messaggi sono scritti in diverse lingue.Può utilizzare differenti SMTP relay scegliendo la lingua in base al dominio dell'indirizzo mail. I domini controllati sono i seguenti : .hu .sp .ru .dk .ro .se .no .fi .lt .pl .pt .de .nl .cz .fr .it .mx .at .es Il messaggio è un semplice Augurio di Natale. Il testo seguente è un esempio del messaggio in inglese: Sender: Pamela M. Il mittente del messaggio viene utilizzato solamente se nell'indirizzo e-mail non è presente il nome. Di seguito alcuni messaggi nelle altre lingue usate dal worm Sender: T. Maria Sender: N. Fernandez Sender: V. Tatyana Sender: V. Jensen Sender: J. Andersson Sender: M. Emma Sender: M. Virtanen Sender: C. Lina Sender: S. Ewa Sender: H. Irene Sender: R. Cornel Sender: V. Dusan Sender: J. Martin Sender: T. Antonio
pif, .cmd, .bat, .com or .zip. Di seguito uno screenshot del messaggio in lingua inglese  Il worm non si invia agli indirizzi che contengono le seguenti sottostringhe: yaho Zafi.D ferma tutte le applicazioni che contengono la parola 'firewall' o 'virus' all'interno del proprio nome. I file delle applicazioni vegono poi sovrascritte con copie create dal worm. Vari tool di Windows fra i quali Task Manager e l'Editor di Registro sono disabilitati quando il worm è attivo.Zafi.D apre questi file con un blocco esclusivo per fare in modo di bloccarne l'accesso. Zafi.D al suo interno contiene una backdoor che ascolta sulla porta 8181. Il worm può utilizzare la backdoor per caricare ed eseguire file nel sistema infetto. Rilevazione F-Secure Anti-Virus rileva Zafi.D con i seguenti aggiornamenti: [FSAV_Database_Version] Version=2004-12-14_02 Dettagli Tecnici: Jarkko Turkulainen, Gergely Erdelyi , 14 Dicembre 2004 F-Secure Corporation |