14 diciembre 2004 11:29 hrs
Trend Micro © Derechos Reservados
Zafi simula ser una tarjeta navideña
En la madrugada de hoy miércoles, WORM_ZAFI.D mostró altos índices de propagación en Alemania, Francia y España.
Se propaga por correo electrónico y a través de redes para compartir archivos entre usuarios, como Kazaa.
Nombre: WORM_ZAFI.D
Nivel de Riesgo: Medio
Tipo de Virus: Gusano
Alias: W32/Zafi.d@MM, Email-Worm.Win32.Zafi.d, W32/Zafi-D, W32/Zafi.D.worm
Potencial de daño: ALTO
Potencial de distribución: ALTO
Destructivo: NO
Encriptado: NO
Plataformas: Windows 98, ME, NT, 2000, XP
En la madrugada de hoy miércoles fue detectada una nueva variedad de la familia ZAFI, con altos índices de infección en Alemania, Francia y España, principalmente, por lo que Trend Micro decidió lanzar una alerta amarilla de mediano riesgo para contener la epidemia.
WORM_ZAFI.D se propaga por dos métodos muy comunes en este tipo de gusanos. El correo electrónico y las redes para compartir archivos entre usuarios, del tipo de Kazaa.
El 10 de junio, una versión de esta familia de códigos maliciosos a la que se llamó PE_ZAFI.B alcanzó altos niveles de difusión, lo que la sostuvo entre los 10 virus más identificados en los registros de TrendLabs hasta el mes de noviembre pasado. A diferencia de esta, ZAFI.B infectaba archivos en las computadoras contaminadas.
Para propagarse por correo electrónico, WORM_ZAFI.D simula ser una tarjeta de felicitación por la temporada navideña; proveniente de una persona conocida, por lo que los usuarios deber tener precaución con los mensajes que contengan los siguientes detalles:
Asunto: Re: Merry Christmas!
Cuerpo del Mensaje:
Happy Hollydays!
:) Pamela M.
Archivo Adjunto:
postcard.index.php1111.pif
Para infectar una computadora, el usuario debe abrir manualmente el archivo adjunto del mensaje. Al hacerlo, el gusano crea una entrada en el registro para asegurar que se ejecutará en cada inicio de Windows.
HKEY_LOCAL_MACHINE\Software\MicrosoftWindows\CurrentVersion\Run
Wxp4 = "%System%\Norton Update.exe"
Enseguida, busca las carpetas compartidas del sistema y deposita en ellas una copia de sí mismo en un archivo que lleva el nombre de NORTON UPDATE.EXE, mismo que podrá ser descargado en otras computadoras cuando el usuario infectado se conecte a un servicio de intercambio de archivos Peer to Peer.
Daniel Ortiz, Coordinador de Tecnología de Trend Micro, afirmó que “el autor de este virus utiliza una técnica muy simple de ingeniería social, aprovechando el interés de la gente en recibir felicitaciones por correo electrónico durante esta temporada”.
Agregó que “es necesario que todos los que utilicen el correo electrónico deben estar prevenidos de este tipo de tácticas engañosas, para no caer en la tentación de ejecutar cualquier archivo sospechoso que encuentre en sus mensajes de correo”.
Trend Micro ha liberado ya las actualizaciones necesarias de sus productos para prevenir infecciones por ZAFI.D:
- Los usuarios de los antivirus de Trend Micro, cuentan ya con el patrón de virus número 2.297.00 para detectar este gusano y prevenir infecciones.
- Los usuarios de los Servicios de Prevención de Epidemias (Outbreak Prevention Services), se liberó el patrón OPP 137 para ayudar a detener la propagación en redes corporativas.
- Los clientes de los Servicios de Limpieza de Daños (Damage Cleanup Services) pueden descargar la Plantilla No. 467, para la restauración automatizada de sus sistemas en caso de alguna infección temprana.
Otros usuarios pueden utilizar Housecall, el escáner antivirus en línea gratuito de Trend Micro, que se puede encontrar en http://housecall.trendmicro.com/.
Con la colaboración de Trend Micro
Ver VideoIr a GaleríaVer Blog