Alerta por virus camuflado en tarjetas navideñas

A las 8:13 AM del 14 de Diciembre de 2004 los laboratorios de Trend Micro y de Panda Software declararon un alerta intermedio (Amarilla para la primera empresa y naranja para la segunda) para controlar la dispersión del virus WORM_ZAFI.D. Los laboratorios recibieron numerosos reportes de infección indicando que este gusano se está distribuyendo en Alemania, Francia y España.

Zafi.D llega a los equipos en mensajes de correo electrónico cuyo asunto es el nombre de una persona escogido al azar, mientras que en el cuerpo del mismo figura el texto: ?¡Feliz Navidad!?, escrito en el idioma correspondiente al dominio de la dirección a la que se está enviando. Así, a una dirección con dominio ?.es? enviará mensajes escritos en castellano, mientras que a otra con dominio ?.de?, mandará textos en alemán. Asimismo, dichos e-mails adjuntan un archivo de nombre variable, escogido a partir de una extensa lista de opciones.

En caso de que el usuario ejecute el citado fichero, que en realidad contiene a Zafi.D, se mostrará en pantalla un falso mensaje de error, y el gusano se enviará por correo electrónico -utilizando su propio motor SMTP-, a las direcciones que encuentra en archivos con determinadas extensiones que estén almacenados en la computadora. Asimismo impide el acceso a las aplicaciones que contengan las cadenas reged, msconfig o task. Por otra parte, Zafi.D introduce varias entradas en el registro de Windows, con el fin de asegurar su ejecución cada vez que se reinicie la PC.

Para su propagación a través de aplicaciones P2P, Zafi.D se copia en todas las carpetas de la unidad C: cuya ruta contenga los textos share, upload o music. Los nombres que puede utilizar para ello son winamp 5.7 new!.exe o ICQ 2005a new!.exe.

Este gusano residente en memoria se propaga masivamente vía e-mail y por redes P2P que se encuentren instaladas. El email que envía tiene las siguientes características:
Subject: Re: Merry Christmas!

Message body:

Happy Hollydays!

:) Pamela M.

Attachment:

postcard.index.php1111.pif

Una vez ejecutado, realiza una copia de sí mismo con el nombre de NORTON UPDATE.EXE en las carpetas compartidas. Agrega además, las siguientes entradas de registro para que se ejecute cada vez que inicie el sistema operativo:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun Wxp4 = "%System%Norton Update.exe"

El Laboratorio de Trend Micro va a estar lanzando los siguientes elementos de prevención:
TMCM Outbreak Prevention Policy 137
Official Pattern Release 2.297.00
Damage Cleanup Template 467

Instrucciones de remoción manual
Para remover las entradas del Registro de Windows
Abrir el editor de Registro.
Click en Start>Run, escriba REGEDIT, y luego presione Enter.
En el panel izquierdo, doble-click en la siguiente rama:
HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run En el panel derecho, localice y elimine la siguiente entrada:
Wxp4 = "%System%Norton Update.exe"
(Nota: %System% es la carpeta del sistema de Windows, generalmente C:WindowsSystem en Windows 95, 98 y ME, C:WINNTSystem32 en Windows NT y 2000, y C:WindowsSystem32 en Windows XP.)
Cierre el editor de Registo.

Más amenazas
Acaban de aparecer tres nuevos gusanos -Atak.H, Atak.I y Atak.J- con mensajes navideños, que actúan como señuelos para engañar al usuario. Los tres llegan en un correo electrónico con las siguientes características:
- Asunto: "Merry X-Mas!" y "Happy New Year!".
- Cuerpo del mensaje: "Happy New Year and wish you good luck on next year!", "Mery Chrismas & Happy New Year! 2005 will be the beginning!"
- Fichero adjunto en formato zip y cuyo nombre es: pif, com, scr o bat.

Además, Atak.H, Atak.I y Atak.J se copian en la carpeta Windows System, con el nombre DEC25.exe.

Dada la época navideña en la que nos encontramos, es muy posible que los usuarios abran dichos correos confundiéndolos con una felicitación de Navidad. La aparición de estas tres nuevas variantes coinciden con la distribución masiva que está experimentando Zafi.D, que se ha colocado en el primer puesto de ActiveScan, como el gusano que más incidencias está causando en estos momentos.