Zafi.d (Erkez.D)

 

 

Tipo:

Worm
 


Aliases:

Erkez.D


Sistemi colpiti:

Tutte le versioni di Windows, dalla 95 in poi.


Descrizione:

Il worm si presenta all'utente all'interno di una email che appare come una cartolina di auguri natalizi ma si diffonde anche attraverso i sistemi di file sharing peer-to-peer. Riconoscere il nuovo worm non e' facile ma, nella versione italiana, si presenta con un subject esplicito: "Re: Buon Natale!" oppure "Fw: Buon Natale!", o anche "Buon Natale!".

Nel testo del messaggio, nella versione italiana, si legge:
"* Buon.... ....Natale! *
:) (NOME UTENTE)"

In allegato si trovano diversi tipi di file che hanno per estensione pif, .cmd, .bat, .com o .zip ma che in ogni caso nel nome fanno riferimento ad una cartolina di auguri natalizia, ad esempio "cartoline.christmas.index.jpg3051.zip".

Il mittente del messaggio ancora una volta non e' il PC infetto quanto invece uno degli indirizzi trovati da Zafi.d sui computer infettati ed utilizzati per l'invio delle email infette.

 

 

Che danni provoca:

 

Trend Micro e F-Secure ritengono Zafi.d piuttosto insidioso. Una volta avviato il file infetto, il worm si inserisce nel registro di Windows in modo tale da assicurarsi di essere sempre attivo quando il PC viene riavviato.
Inoltre copia se stesso con il nome di "winamp 5.7 new!.exe" o "ICQ 2005a new!.exe" nelle cartelline del PC il cui nome comprenda i termini "share", "upload" o "music".

Per ottenere gli indirizzi a cui inviare il proprio codice malevolo, Zafi.d scansiona una quantità di file diversi sul PC nonché tutta la rubrica di Windows, dopodichè si auto spedisce a tutti gli indirizzi trovati. Sfruttando un proprio motore SMTP, Zafi.d cerca di impedire che l'utente si accorga dell'invio dei messaggi abusivi.

Per cercare di non essere rilevato dalle società di sicurezza antivirus e dai grandi portali web, Zafi.d non viene inviato ad indirizzi che contengano tutta una serie di nomi noti, da "hotm" (che sta per Hotmail) a "kasper" (che sta per Kaspersky Labs).

Non contento, Zafi.d cerca di disattivare tutte le applicazioni antivirus e di sicurezza attive sul PC infettato. Non solo, installa anche una backdoor sulla porta 8181 che consente dall'esterno di accedere al PC, cancellare dati o importarvene di nuovi.



 Dettagli Tecnici:
 

# Crea i seguenti files:

    * %System%\Norton Update.exe
    * C:\s.cm (A log file.)

Nota: %System% è una variabile che si riferisce alla cartella di sistema. Di default, questa è C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), oppure C:\Windows\System32 (Windows XP).

# Crea più copie di se stesso nella cartella %System% come file  .dll con otto caratteri, e nomi di files casuali.

# Cerca di creare i seguenti files nelle cartelle che contengono nel loro nome la stringa "shar", "upload", oppure "music" :

    * winamp 5.7 new!.exe
    * ICQ 2005a new!.exe


# Crea il seguente mutex chiamato "Wxp4", che è solamente una copia del worm in esecuzione sul computer infetto.

# Aggiunge il valore:

    "Wxp4" = "%System%\Norton Update.exe"

    alla sottochiave di registro:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    cosi il worm puo essere eseguito ad ogni avvio di Windows.

# Crea la seguente chiavi di registro che contiene le informazioni sulla sua collocazione:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

# Mostra il seguente messaggio di errore:



# Termina i processi con le seguenti stringe nei loro nomi:

    * reged
    * msconfig
    * task

# Cerca di connettersi al dominio microsoft.com

# Apre una back door sulla porta TCP 8181 e rimane in ascolto di comandi dal remote attacker.

# Cerca files .exe in cartelle contenenti le seguenti stringhe:

    * syman
    * viru
    * trend
    * secur
    * panda
    * cafee
    * sopho
    * kasper

e tenta di terminare i relativi processi.

# Raccoglie gli indirizzi email dai computer infetti e li archivia in files .dll nella directory %System% .

# Richiama gli indirizzi email dal Windows Address Book e dai files con le seguenti estensioni:

    * .htm
    * .wab
    * .txt
    * .dbx
    * .tbb
    * .asp
    * .php
    * .sht
    * .adb
    * .mbx
    * .eml
    * .pmr
    * .fpt
    * .inb

Il worm evita gli indirizzi email che contengono le seguenti stringhe:

    * yaho
    * google
    * win
    * use
    * info
    * help
    * admi
    * ebm
    * micro
    * msn
    * hotm
    * suppor
    * syman
    * viru
    * trend
    * secur
    * panda
    * cafee
    * sopho
    * kasper

# Manda una copia del worm a indirizzi email raccolti dal computer, usando un proprio motore SMTP.

Le email contengono le seguenti caratteristiche:

From:
(Spoofed)

Subject:
(One of the following)

    * Merry Christmas!
    * boldog karacsony...
    * Feliz Navidad!
    * ecard.ru
    * Christmas Kort!
    * Christmas Vykort!
    * Christmas Postkort!
    * Christmas postikorti!
    * Christmas - Kartki!
    * Weihnachten card.
    * Prettige Kerstdagen!
    * Christmas pohlednice
    * Joyeux Noel!
    * Buon Natale!

Message:
(One of the following)

    * Happy HollyDays!
       :) [Sender]


    * Kellemes Unnepeket!
       :) [Sender]


    * Feliz Navidad!
       :) [Sender]


    * :) [Sender]


    * Glaedelig Jul!
       :) [Sender]


    * God Jul!

       :) [Sender]
 

    * Iloista Joulua!
       :) [Sender]
       Naujieji Metai!
       :) [Sender]
 

    * Wesolych Swiat!
       :) [Sender]
 

    * Fröhliche Weihnachten!
       :) [Sender]
 

    * Prettige Kerstdagen!
       :) [Sender]
 

    * Veselé Vánoce!
       :) [Sender]
 

    * Joyeux Noel!
      :) [Sender]
 

    * Buon Natale!
       :) [Sender]


Attachment: (Nomi variabili con una delle seguenti estensioni)

    * .bat
    * .cmd
    * .com
    * .pif
    * .zip

Il seguente è un esempio di email che il worm invia:

 

 

 

Rimozione manuale:

Qualora si sia individuato Zafi.d sul proprio computer e' necessario seguire questa procedura di rimozione:

 

- aprire il file di registro (regedit da "Esegui" del menu' avvio)
- aprire la chiave HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run
- sulla destra cercare e cancellare le chiavi:


Wxp4 = "SYSTEM\Norton Update.exe" ("SYSTEM" va sostituita con il percorso della cartella di sistema di Windows ("system" appunto) che varia a seconda della versione di Windows o delle preferenze dell'utente.
 

Attenzione la modifica del registro senza una esatta conoscenza di cio che si sta sta facendo puo' rendere il computer inservibile!

 

 

Tool di rimozione:

 

http://securityresponse.symantec.com/avcenter/venc/data/w32.erkez@mm.removal.tool.html

 

 

Ulteriori Informazioni:

 

http://secunia.com/virus_information/13874/

 

 

 

Scheda redatta da itack

 

Copyright © 2004 ExtrHack.da.ru - All rights reserved.