W32/Zafi-D

Vea la información para eliminar gusanos.

Vea las instrucciones para eliminar W32/Zafi-D.

W32/Zafi-D es un gusano de email que se entiende también a través de redes de intercambio de archivos. W32/Zafi-D es un gusano de email que se entiende también a través de redes de intercambio de archivos.

El gusano se copia en la carpeta del sistema de Windows con el nombre Norton Update.exe y crea las siguientes entradas en el registro para activarse en el inicio del sistema:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run Wxp4

W32/Zafi-D crea también diferentes archivos DLL de nombre aleatorio en la misma carpeta con copias del gusano (algunas comprimidas) o archivos de registro.

W32/Zafi-D obtiene direcciones de email de archivos con las siguientes extensiones HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML, PMR, FPT y INB, aunque evitará direcciones con más de 16 dígitos o con las siguientes cadenas:

yaho, google, win, use, info, help, admi, webm, micro, msn, hotm, suppor, syman, viru, trend, secur, panda, cafee, sopho, kasper

W32/Zafi-D intentará terminar diferentes procesos relacionados con productos antivirus y de seguridad.

W32/Zafi-D se copia en las carpetas cuyo nombre incluya:

share, upload, music

Utilizando los nombres:

ICQ 2005a new!.exe winamp 5.7 new!.exe

W32/Zafi-D crea diferentes claves en la entrada del registro HKLM\Software\Microsoft\Wxp4\ con algunos de los siguientes valores:

t1, t2, t3, t4, t5, t6, t7, t8, t9, tA, tB, tC, tD, tE, tZ, rB, rC, mA, mB, mC, ... mX, mY, mZ lA, lB, lC, ... lX, lY, lZ

W32/Zafi-D muestra un mensaje falso de error con el título "CRC: 04F6Bh" y el texto "Error in packed file!".