Zafi.D es un nuevo gusano que ha tenido un comienzo de propagación explosivo, a juzgar por el número de mensajes infectados que han sido detectados en las primeras horas de su expansión. Aunque también infecta a través de redes P2P, su principal vía de propagación es el correo electrónico, presentándose adjunto en un mensaje con un asunto donde nos felicita la Navidad y adjuntando una hipotética postal, que en realidad es el gusano.

En el asunto del e-mail en el que se propaga nos felicita la Navidad. El cuerpo del mensaje, en formato HTML, puede incluir un texto felicitando las fiestas con un pequeño gráfico animado .GIF, seguidos de una línea con una sonrisa ":)" y el nombre del remitente. Al final del mensaje aparece una URL con el dominio del correo electrónico del destinatario y el nombre de archivo adjunto, simulando que se trata de una postal gráfica.

Ejemplo de mensaje del gusano:
----------------------------------------------------

De: Usuario XXX
Para: [email protected]
Asunto: Merry Christmas!

Adjunto: postcard.index.htm7521.cmd

Cuerpo:

* .... [gráfico animado].... *

:) Usuario XXX

http://victima.com/postcard.index.htm7521 -
Picture Size: 11KB, Mail: +OK

----------------------------------------------------

Zafi.D se propaga en diferentes idiomas dependiendo del dominio de la dirección de correo a la que se envía, de forma que los textos utilizados pueden ser:

boldog karacsony...
Buon Natale!
Christmas - Kartki!
Christmas Kort!
Christmas pohlednice
Christmas postikorti!
Christmas Postkort!
Christmas Vykort!
ecard.ru
Feliz Navidad!
Fröhliche Weihnachten!
Glaedelig Jul!
God Jul!
Happy HollyDays!
Iloista Joulua!
Joyeux Noel!
Kellemes Unnepeket!
Merry Christmas!
Naulieji Metai!
Prettige Kerstdagen!
Prettige Kerstdagen!
Veselé Vánoce!
Weihnachten card.
Wesolych Swiat!


si un usuario ejecuta el archivo del gusano creyendo que se trata de una postal navideña, Zafi.D simula que no puede abrirse debido a un error, haciendo aparecer una ventana con el título "CRC: 04F78h" y el mensaje "Error in packed file!".

Cuando aparezca ese mensaje, el gusano habrá comenzado la infección del sistema. En la carpeta de sistema de Windows crea varios archivos, que incluyen copias del gusano, una como "Norton Update.exe" y dos con nombres de archivos al azar y extensión .DLL.

Introduce varias entradas en el registro de Windows, la típica en la
clave RUN para asegurarse su ejecución en cada inicio de sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
\CurrentVersion\Run "Wxp4"=C:\WINDOWS\SYSTEM32
\Norton Update.exe

Y una segunda donde almacena información adicional del gusano:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

El gusano recolecta direcciones a las que enviarse de los archivos
que encuentra en el sistema infectado cuya extensión sea: .adb, .asp, .dbx, .eml, .fpt, .htm, .inb, .mbx, .php, .pmr, .
sht, .tbb, .txt, o .wab.

Zafi.D evita enviarse a las direcciones de correo electrónico que contenga alguna de las siguientes cadenas de texto: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, secur, sopho, suppor, syman, trend, use, viru, webm, win o yaho.

Para propagarse a través de redes P2P, el gusano se copia en todas las carpetas de la unidad C: que contenta alguna de las siguientes cadenas: share, upload o music. Los nombres de esas carpetas suelen coincidir con los directorios utilizados por los clientes P2P para compartir archivos, de forma que el gusano pasa a formar parte de los archivos compartidos en la red.

Para intentar que los usuarios se lo descarguen, ejecuten e infecte, el gusano se copia en dichas carpetas utilizando nombres llamativos, como nuevas versiones de aplicaciones muy extendidas, ejemplos: "winamp5.7 new!.exe" o "ICQ 2005a new!.exe".

Por último Zafi.D también incluye algunas características para intentar evadir al software de seguridad, como antivirus y firewalls personales, eliminando sus procesos en memoria. Adicionalmente también intenta prevenir la desinfección manual, finalizando los procesos que contentan las cadenas de "msconfig", "reged", o "task".

===============================

Según datos obtenidos por el servicio de Hispasec VirusTotal
(http://www.virustotal.com) y nuestro laboratorio, podemos ofrecer los tiempos de reacción reacción de los distintos motores antivirus.

En primer lugar destacar aquellos motores que lo detectaban incluso antes de su aparición, y por tanto mantenían a sus usuarios protegidos desde el primer momento:

BitDefender BehavesLike:Win32.P2P-Worm
F-Prot could be infected with an unknown virus
McAfee New Malware.b
NOD32v2 probably unknown NewHeur_PE
Panda (TruPrevent)

Las firmas específicas, según hora española, estuvieron disponibles en los siguientes tiempos:

Norman 14.12.2004 10:54 :: [email protected]
Kaspersky 14.12.2004 11:08 :: Email-Worm.Win32.Zafi.d
Sophos 14.12.2004 13:12 :: W32/Zafi-D
ClamAV 14.12.2004 13:48 :: Worm.Zafi.D
F-Prot 14.12.2004 13:48 :: [email protected]
Antivir 14.12.2004 13:53 :: Worm/Zafi.D
Panda 14.12.2004 14:04 :: W32/Zafi.D.worm
DrWeb 14.12.2004 14:55 :: Win32.HLLM.Hazafi.36864
NOD32v2 14.12.2004 14:56 :: Win32/Zafi.D
BitDefender 14.12.2004 15:37 :: [email protected]
McAfee 14.12.2004 16:29 :: [email protected]
eTrust-Iris 14.12.2004 17:52 :: Win32/Zafi.D.Worm
Trend Micro 14.12.2004 17:57 :: WORM_ZAFI.D

Fuente: Hispasec