Zafi.B es un gusano residente en memoria, reportado el 11 de Junio del 2004, de propagación masiva a través de mensajes de correo en uno de varios formatos definidos, con archivos anexados de nombres aleatorios, con mas de una extensión, siendo la última PIF.
También se difunde vía las redes P2P que se encuentren instaladas.
El remitente y parte del contenido o nombre del archivo anexado, en forma aleatoria contienen el nombre de la dirección capturada en los sistemas infectados.
Sobrescribe con su código viral los archivos con extensión .EXE de las carpetas de la unidad C:
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 12.5 KB y comprimido con la utilidad UPX (Ultimate Packer for eXecutables).
Sus payloads son los siguientes:
Se propaga en mensajes de correo en uno de varios formatos definidos, con archivos anexados de nombres aleatorios, con mas de una extensión, siendo la última PIF.
Extrae los buzones de correo de archivos de determinadas extensiones, omitiendo ciertas cadenas de texto.
Emplea la técnica Spoofing en el Remitente, Contenido o archivo Anexado.
Infecta a través de la red Peer to Peer que se encuentren instaladas en el sistema infectado.
Sobrescribe con su código viral archivos con extensión .EXE de carpetas en la unidad C:
Se conecta en forma aleatoria a cualquier enlace visitado anteriormente por el usuario.
Termina la ejecución de determinados importantes procesos.
Los ultimos comentarios