W32/Zafi-B w32zafib worm crv virus antivirus sophos qubis

W32/Zafi-B
(16. lipnja 2004.)

Sophos nas je obavijestio o pojačanoj aktivnosti W32/Zafi-B za koji je primio veći broj prijava otkrivanja. Qubis d.o.o. je do sada primio dvije dojave otkrivanja ovog crva u Hrvatskoj. W32/Zafi-B prepoznavat će Sophos Anti-Virus za kolovoz 2004. (v.3.84).

Instalacije svih korisnika koji koriste EMLibrary, Sophosov alat za automatizirano dograđivanje putem Interneta, dograđene su automatski 11. lipnja 2004., kada je objavljena prva verzija ove dogradnje ili nakon toga, ovisno o tome kako je podešena učestalost dograđivanja.

Svim korisnicima preporučujemo da, ako već nisu, svoje programe Sophos Anti-Virus odmah dograde hitnom dogradnjom za prepoznavanje ovog crva, koju možete naći na http://www.sophos.com/downloads/ide/.

Vrsta

Win32 crv

Alias

I-Worm.Zafi.b
W32/Zafi.b@MM
Win32/Zafi.B
W32.Erkez.B@mm
PE_ZAFI.B

Način širenja

Širi se elektroničkom poštom (slanjem .EXE datoteke u privitku) i peer-2-peer mrežama. Prema dostupnim podacima ne koristi nijedan sigurnosni propust.

Aktivnosti / Simptomi / Posljedice

Elektronička poruka s inficiranom datotekom može sadržavati sljedeće dijelove:

Pošiljatelj (From:)

(slučajno odabrana adresa)

Primatelj (To:)

(slučajno odabrana adresa)

Subjekt (Subject:)

Može biti jedan od sljedećih tekstova:

Ingyen SMS!
Importante!
E-Kort!
Ecard!
E-vykort!
E-Postkort!
E-postikorti!
Atviruka!
E-Kartki!
Cartoe Virtuais!
Flashcard fuer Dich!
Er staat een eCard voor u klaar!
Elektronicka pohlednice!
E-carte!
Ti e stata inviata una Cartolina Virtuale!
You`ve got 1 VoiceMessage!
Tessek mosolyogni!!!
Soxor Csok!
Don`t worry, be happy!
Check this out kid!!!

Poruka (Message:)

Može biti jedan od sljedećih tekstova:

Informacion importante que debes conocer, -
Mit hjerte banker for dig!
De cand te-am cunoscut inima mea are un nou ritm!
Till min Alskade...
Vakre roser jeg sammenligner med deg...
Iloista kesaa!
Linksmo gimtadieno!
W Dniu imienin...
Te amo...
Hallo!
hat dir eine elektronische Flashcard geschickt.
Um die Flashcard ansehen zu koennen, benutze in deinem Browser
einfach den nun folgenden link:
http:// f l a s h c a r d .de/interaktiv/viewcards/view.php3?card=267BSwr34
Viel Spass beim Lesen wuenscht Ihnen ihr...
Hallo! heeft u een eCard gestuurd via de website nederlandse taal in het basisonderwijs... U kunt de kaart ophalen door de volgende url aan te klikken of te kopiren in uw browser link: http:// p o s t k a a r t e n.nl/viewcard.show53.index=04abD1 Met vriendelijke groet, De redactie taalsite primair onderwijs... Hanka
Elektronick pohlednice ze serveru http://www. s e z n a m .cz
vous a envoye une E-carte partir du site z d n e t .fr Vous la trouverez, l'adresse suivante link:
http:// z d n e t .fr/showcard.index.php34bs42
www. z d n e t .fr, plus de 3500 cartes virtuelles, vos pages web en 5 minutes, du dialogue en direct...
Ciao! ha visitato il nostro sito, cartolina.it e ha creato una cartolina virtuale per te! Per vederla devi fare click sul link sottostante: http:// c a r t o l i n a .it/asp.viewcard=index4g345a Attenzione, la cartolina sara visibile sui nostri server per 2 giorni e poi verra rimossa automaticamente.
Dear Customer! You`ve got 1 VoiceMessage from voicemessage.com website! Sender: You can listen your Virtual VoiceMessage at the following link: http:// v i r t . v o i c e m e s s a g e .com/index.listen.php2=35affv or by clicking the attached link. Send VoiceMessage! Try our new virtual VoiceMessage Empire! Best regards: SNAF.Team (R).
Ha ez a k=E9p sem tud felviditani, akkor feladom! Sok puszi:
Szia! Aranyos vagy, j=F3 volt dumcsizni veled a neten! Rem=E9lem tetszem, =E9s szeretn=E9m ha te is k=FClden=E9l k=E9pet magadr=F3l, addig is cs=F3k:
Hi Honey! I`m in hurry, but i still love ya... (as you can see on the picture) Bye - Bye:
Send me back bro, when you`ll be done...(if you know what i mean...) See ya,

(adrese www poslužitelja su namjerno napisane s razmakom izmedju znakova)

Privitak (Attachment:)

nazivdatoteke.exe

Kada se aktivira pristigla .EXE datoteka, spremi svoju kopiju u direktorij System32 kao .EXE sa slučajno odabranim nazivom. Provjerom postojanja stranica www.google.com i www.microsoft.com provjerava da li je otvorena veza ka Internetu i nakon toga korištenjem vlastitog SMTP mehanizma šalje svoju kopiju na elektroničke adrese koje pronađe u datotekama s nastavkom HTM, WAB, TXT, DBX, TBB, ASP, PHP, SHT, ADB, MBX, EML and PMR. Elektroničke adrese sprema u direktorij %SystemFolder% u privremenu datoteku slučajnog naziva s nastavkom .DLL.

Procesi / Programi

Pokreće se proces pod nazivom "Link".

Programi Regedit, Task Manager i Task Monitor neće raditi.

Datoteke

Kreira sljedeće datoteke:

%SystemFolder%\nazivdatoteke1.exe ... Izvršni dio crva

, EXE, veličine oko 12KB

%SystemFolder%\nazivdatoteke2.dll ... Izvršni dio crva

, DLL, veličine oko 12KB

%SystemFolder%\nazivdatoteke3.dll ... Popis pronađenih e-adresa

U dijeljeni P2P direktorij (obično 'share' i 'upload') će kopirati inficiranu datoteku pod nazivima:

winamp 7.0 full_install.exe
total commander 7.0 full_install.exe

Prema nekim podacima, postoji mogućnost da program ukloni neke od antivirusnih programa s diska.

Registry

Dodaje stavke:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
_Hazafibb=%SystemFolder%\nazivdatoteke.exe
HKLM\Software\Microsoft\_Hazafibb\

Ponekad će prikazati tekst na mađarskom jeziku:

A hajlektalanok elhelyezeset, a bunteto torvenyek szigoritasat, es a HALALBUNTETES MEGSZAVAZASAT koveteljuk a kormanytol, a novekvo bunozes ellen! 2004, jun, Pecs,(SNAF Team).

(Prijevod na engleski: "We demand that the government accomodates the homeless, tightens up the penal code and VOTES FOR THE DEATH PENALTY to cut down the increasing crime. Jun. 2004, Pécs (SNAF Team)")

Ostalo

Neprekidno šalje zahtjeve sljedećim web stranicama, pa će u slučaju proširenije infekcije doći do DoS napada

www.parlament.hu
www.virusbuster.hu
www.virushirado.hu
www.2f.hu

Uklanjanje

Windows 9X klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep)
pokrenite računalo u DOS
programom %ProgramFiles%\Sophos Sweep\sweep.exe provjerite i očistite računalo

Windows NT-klasa:

preuzmite IDE datoteke sa Sophosovih stranica za trenutno instaliranu inačicu Sophosa
stavite ih u direktorij u kojem se nalazi Sophos (obično %ProgramFiles%\Sophos Sweep for NT)
pokrenite računalo u Safe mode with Command prompt
programom %ProgramFiles%\Sophos Sweep for NT\sav32cli.exe provjerite i očistite računalo

Zaštita od infekcije

zaštita na poslužiteljima elektroničke pošte
zabrana slanja/primanja izvršnih datoteka (.exe, .com, .bat, .cmd, ...)
poduka krajnjih korisnika

Ostalo

Sophos - Podaci o crvu

Sažetak svojstava

Širenje
E-Mail	R
Network share	Q
P2P	R
Vlastiti SMTP mehanizam	R
Ostalo	Q
Aktivnost
Zaustavlja Sophos	Q
Mijenja registry	R
Kreira / Mijenja datoteke	R
Otvara backdoor	Q
Otvara port	Q
KeyLogging	Q
Automatska obnova	Q
Uklanjanje
Čišćenje / Uklanjanje (DOS / Safe mode + Cmd prompt)	R
Promjena registry-ja	R
Čišćenje datoteka	Q
Uklanjanje datoteka	R
Zaštita
Sigurnosna zakrpa	Q
Filtriranje sadržaja na proxy poslužitelju	Q
Vatrozid	Q
Poduka korisnika	R