Email-Worm.Win32.Zafi.d

Estás en Inicio: Soporte Técnico: Alertas de Virus: Email-Worm.Win32.Zafi.d

Email-Worm.Win32.Zafi.d« Volver al listado de Virus

Alias:
Zafi.D, Win32/Zafi.D, W32/Zafi.D@mm, W32/Zafi-D.

Información Técnica:

Una nueva variante del virus Zafi - Zafi.D se esta propagando masivamente.

Mientras que el Zafi.A original solo utilizaba un idioma, Zafi.D de propaga mediante correos electrónicos en inglés, italiano, español, ruso, sueco y otros idiomas.

El gusano se envía simulando un mensaje de felicitación de Navidad llevando normalmente como adjunto un archivo comprimido en zip.

Infección:

Zafi.D intenta detener cualquier aplicación uso que contenga en su nombre ' firewall ' o ' virus '.
Estos archivos ejecutables se sobreescriben con una copia del gusano.

Mientras el virus está activo varias herramientas de Windows, como el administrador de tareas, el editor del registro permanecen desabilitadas.

Zafi.D contiene un componente backdoor que permanece a la escucha en el puerto 8181. Esto permite al gusano descargar y ejecutar archivos de forma remota.

Cuando se ejecuta el gusano, puede que aparezca en pantalla el siguiente mensaje de error:

CRC: 04F7Bh
Error in packed file!
[ OK ]

Zafi.D puede crear varios archivos infectados en el directorio de Windows, segun sea el sistema operativo:

ckolieqt.dll
fktnxowp.dll
gczomkgr.dll
hgtmrsvo.dll
Norton Update.exe

También se propaga a través de la red creando copias del mismo en las carpetas compartidas de otros ordenadores.

El gusano añade las siguientes entradas en el registro, para autoejecutarse cada vez que reiniciamos el sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Wxp4 = "c:\windows\system32\Norton Update.exe"

HKLM\Software\Microsoft\Wxp4

Propagación:

Zafi.D escanea el disco local buscando archivos con las siguientes extensiones:

.adb
.asp
.dbx
.eml
.fpt
.htm
.inb
.mbx
.php
.pmr
.sht
.tbb
.txt
.wab

Zafi.D cosecha aquí direcciones del email, y después envía mensajes infectados a estas direcciones, utilizando para ello su propio motor SMTP.

Los mensajes de correo enviados son similares y tienen el mismo formato que el de la imagen siguiente:

Desinfección:

La protección contra el Email-Worm.Win32.Zafi.d ya se añadió a las bases de virus de Kaspersky Antivirus, mantenga actualizado su Antivirus.

Para desinfectarlo actualize las bases antivirus y proceda a ejecutar el escáner del Kaspersky Antivirus.

Si tiene problemas con la desinfección del virus y le es imposible desinfectar o borrar algún archivo infectado, adjuntenos el fichero del informe generado por el escaner del antivirus a soporte@codine.es.