McAfee AVERT califica a W32/Zafi.b@MM en mediano riesgo

15 Jun 2004 en Seguridad

Network Associates, Inc. anunció hoy que McAfee® AVERT™ (Anti-Virus and Vulnerability Emergency Response Team), su división de investigación de clase mundial, aumentó a nivel medio la clasificación de riesgo del recientemente descubierto W32/Zafi.b@MM, también conocido como Zafi.b. Se trata de un gusano que envía mensajes masivos creados con su propio motor SMTP, falsificando la dirección De:. También trata de propagarse a través de P2P, copiándose en carpetas del sistema local (que contienen las palabras ‘share’ o ‘upload’ en sus nombres). Los investigadores de McAfee AVERT detectaron el gusano el viernes 11 de junio y han recibido más de 150 informes del gusano Zafi.b de envíos de clientes y de correos generados por el virus, provenientes de clientes en todo el mundo.

Síntomas

Zafi.b es un gusano que envía correos electrónicos masivos que, al ejecutarse, se copia a sí mismo dos veces en la carpeta %windir%\\system32 utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano, que se envía a sí mismo en diferentes idiomas, crea una clave de registro, de modo que los archivos infectados se ejecutan cada vez que se enciende un computador infectado. Zafi.b también puede buscar directorios de software antivirus y personal firewall y sobrescribir los ejecutables con una copia de sí mismo. Los usuarios deben eliminar inmediatamente cualquier mensaje de correo electrónico que incluya lo siguiente:

De: (la dirección De está falsificada) El gusano busca direcciones de correo electrónico en el disco duro local, recopilando direcciones de correo de archivos con las siguientes extensiones:

— htm
— wab
— txt
— dbx
— tbb
— asp
— php
— sht
— adb
— mbx
— eml
— pmr

Las direcciones recopiladas se guardan en cinco archivos en la carpeta system32, utilizando nombres aleatorios y la extensión de archivo .DLL.

Asunto: Re: (asunto original)

El mensaje puede contener diversos asuntos y cuerpos del mensaje.

Patología

Después de ejecutarse, Zafi.b se copia a sí mismo dos veces en la carpeta %windir%\\system32, utilizando un nombre aleatorio y las extensiones .EXE y .DLL. El gusano hace copias de sí mismo en los directorios de la unidad C: que contengan una de las siguientes cadenas: “share” o “upload” y utiliza uno de los siguientes nombres de archivo:

— Total Commander 7.0 full_install.exe
— winamp 7.0 full_install.exe

En un intento de impedir la identificación y limpieza manuales de una máquina infectada, el gusano también trata de terminar procesos.

Cura

Para obtener información inmediata y una cura para este virus, consulte el sitio de McAfee AVERT de Network Associates, ubicado en http://vil.nai.com/vil/content/v_125301.htm.. Los usuarios de los productos de McAfee Security deben actualizar sus sistemas en esa página.

La estrategia McAfee® Protection-in-Depth™ de Network Associates ofrece una serie completa de soluciones de protección para sistemas y redes único en la industria, que se distingue por su tecnología de prevención de intrusos que puede detectar y bloquear este tipo de ataques. Esto permite a los clientes protegerse mientras planifican su estrategia de implementación del parche.

McAfee AVERT Labs es una de las organizaciones de investigación antivirus y antivulnerabilidad más respetada del mundo y emplea a investigadores en oficinas en cinco continentes. McAfee AVERT protege a los clientes desarrollando y proporcionando soluciones creadas en un esfuerzo conjunto de los investigadores de McAfee AVERT y la tecnología de McAfee AVERT AutoImmune, que aplica heurística avanzada, detección genérica y tecnología ActiveDAT para generar las curas para virus anteriormente desconocidos.