W32/Zafi-B

Vea la información para eliminar gusanos.

Vea las instrucciones para eliminar W32/Zafi-B.

W32/Zafi-B es un gusano de email, que se extiende también a través de redes de intercambio de archivos.W32/Zafi-B es un gusano de email, que se extiende también a través de redes de intercambio de archivos, y que se copia en la carpeta System de Windows con un nombre aleatorio de extensión EXE y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ _Hazafibb= <Windows system>\<gusano.exe>

El gusano también crea la siguiente entrada con un nombre aleatorio de dos caracteres alfanuméricos:

HKLM\Software\Microsoft\_Hazafibb\

El gusano comprobará si el equipo está conectado a Internet accediendo a los sitios Web www.google.com o www.microsoft.com.

W32/Zafi-B obtiene direcciones de email a las que enviarse en archivos con las siguientes extensiones:

HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML y PMR

El gusano utiliza un archivo de nombre aleatorio y extensión DLL en la carpeta del sistema para almacenar las direcciones obtenidas.

W32/Zafi-B se copiará en las carpetas compartidas en redes de intercambio de archivos con el nombre 'WINAMP 7.0 FULL_INSTALL.EXE' o 'TOTAL COMMANDER 7.0 FULL_INSTALL.EXE'.

W32/Zafi-B podría mostrar el siguiente mensaje en húngaro:

A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team).

Cuya traducción es:

Demandamos que el gobierno de asilo a los vagabundos, endurezca las leyes e INTRODUZCA LA PENA DE MUERTE para reducir el crimen. 2004, junio, Pecs (SNAF Team)

W32/Zafi-B llega adjunto en un mensaje con las siguientes características:

Asunto: Ingyen SMS! Mensaje: ------------------------ hirdet=E9s ----------------------------- A sikeres 777sms.hu =E9s az axelero.hu t=E1mogat=E1s=E1val =FAjra indul az ingyenes sms k=FCld=F5 szolg=E1ltat=E1s! Jelenleg ugyan korl=E1tozott sz=E1mban, napi 20 ingyen smst lehet felhaszn=E1lni. K=FCldj te is SMST! Neh=E1ny kattint=E1s =E9s a mell=E9kelt regisztr=E1ci=F3s lap kit=F6lt=E9se ut=E1n azonnal ig=E9nybevehet=F5! B=F5vebb inform=E1ci=F3t a www.777sms.hu oldalon tal=E1lsz, de siess, mert az els=F5 ezer felhaszn=E1l=F3 k=F6z=F6tt =E9rt=E9kes nyerem=E9nyeket sorsolunk ki! ------------------------ axelero.hu ---------------------------

Asunto: Importante! Mensaje: Informacion importante que debes conocer, -

Asunto: E-Kort! Mensaje: Mit hjerte banker for dig!

Asunto: Ecard! Mensaje: De cand te-am cunoscut inima mea are un nou ritm!

Asunto: E-vykort! Mensaje: Till min Alskade...

Asunto: E-Postkort! Mensaje: Vakre roser jeg sammenligner med deg...

Asunto: E-postikorti! Mensaje: Iloista kesaa!

Asunto: Atviruka! Mensaje: Linksmo gimtadieno!

Asunto: E-Kartki! Mensaje: W Dniu imienin...

Asunto: Cartoe Virtuais! Mensaje: Te amo...

Asunto: Flashcard fuer Dich! Mensaje: Hallo! hat dir eine elektronische Flashcard geschickt. Um die Flashcard ansehen zu koennen, benutze in deinem Browser einfach den nun folgenden link: http://flashcard.de/interaktiv/viewcards/view.php3?card=267BSwr34 Viel Spass beim Lesen wuenscht Ihnen ihr...

Asunto: Er staat een eCard voor u klaar! Mensaje: Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http://postkaarten.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs... Hanka

Asunto: Elektronicka pohlednice! Mensaje: Ahoj! Elektronick pohlednice ze serveru http://www.seznam.cz

Asunto: E-carte! Mensaje: vous a envoye une E-carte partir du site zdnet.fr Vous la trouverez, l'adresse suivante link: http://zdnet.fr/showcard.index.php34bs42 www.zdnet.fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...

Asunto: Ti e stata inviata una Cartolina Virtuale! Mensaje: Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http://cartolina.it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.

Asunto: You`ve got 1 VoiceMessage! Mensaje: Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http://virt.voicemessage.com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).

Asunto: Tessek mosolyogni!!! Mensaje: Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:

Asunto: Soxor Csok! Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k:

Asunto: Don`t worry, be happy! Mensaje: Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:

Asunto: Check this out kid!!! Mensaje: Send me back bro, when you`ll be done...(if you know what i mean...) See ya,