PDA

Visualizza versione completa : Virus: Mcafee, Rischio Medio Per W32.Zafi.B


Giorgius
14-06-2004, 21.27.15
(ASCA) - Roma, 14 giu - Mcafee Avert (Anti-Virus Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Zafi.b@MM, conosciuto anche come Zafi.b. Si tratta un worm mass-mailing che costruisce messaggi utilizzando il proprio motore Smtp e cammuffando l'indirizzo incluso nel campo FROM:. Inoltre, il worm cerca di propagarsi in modalita' P2p, auto copiandosi nelle cartelle presenti sul sistema locale (contenenti le parole ''share'' o ''upload'' nel nome della cartella). I ricercatori Mcafee Avert, che hanno individuato il worm per la prima volta venerdi' 11 giugno, hanno ricevuto oltre 150 segnalazioni da tutto il mondo del worm Zafi.b sia dai clienti stessi che da messaggi generati dal virus in tutto il mondo. Zafi.b e' un worm mass-mailing che, una volta attivato, si autoduplica nella cartella %windir%system32 utilizzando un nome a caso e estensioni .EXE e .DLL. Il worm, che si invia utilizzando varie lingue, crea una chiave di registro, in modo che i file infetti vengano eseguiti ogni volta che un computer infetto viene accesso. Zafi.b e' inoltre in grado di ricercar directory di software antivirus e personal firewall, e quindi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti dovrebbero immediatamente cancellare qualunque e-mail che contenga: From: (L'indirizzo e' falsificato). Il worm ricerca gli indirizzi email presenti sul disco fisso locale, raccogliendoli da file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Gli indirizzi raccolti vengono memorizzati in cinque file nella cartella system32 utilizzando nomi a caso e l'estensione di file .DLL. Subject: Re: (oggetto originale) Il messaggio puo' essere costruito utilizzando differenti subject e testi di messaggio. Una volta eseguito, Zafi.b si auto-duplica nella cartella %windir%system32 utilizzando un nome a caso con estensione .EXE e.DLL . Il worm poi si copia nelle directory presenti sul drive C. che contengono una delle seguenti stringhe, ''share'' o ''upload'', e utilizza uno dei seguenti nomi di file: Total Commander 7.0 full_install.exe, winamp 7.0 full_install.exe. Cercando di contrastare l'identificazione e la cancellazione manuale di un computer infetto, il worm tentera' anche di terminare il processo. Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_125301.htm.

Giorgius
14-06-2004, 21.32.58
Aliases:
PE_ZAFI.B (Trend Micro), I.worm.zafi.B@mm (Kaspersky (viruslist.com)), W32/Zafi.B@mm (PerAntivirus), W32.Erkez.B@mm (Symantec), W32/Zafi-B (Sophos), W32/Zafi.b@MM (McAfee), W32/Zafi.B@mm (PerAntivirus), I-Worm.Zafi.b (Kaspersky (viruslist.com)), Win32/Zafi.B (Otros), Win32.Zafi.B (Computer Associates)

Effetti:
Zafi.B es un gusano residente en memoria, reportado el 11 de Junio del 2004, de propagación masiva a través de mensajes de correo en uno de varios formatos definidos, con archivos anexados de nombres aleatorios, con mas de una extensión, siendo la última PIF.
También se difunde vía las redes P2P que se encuentren instaladas.
El remitente y parte del contenido o nombre del archivo anexado, en forma aleatoria contienen el nombre de la dirección capturada en los sistemas infectados.
Sobre-escribe con su código viral los archivos con extensión .EXE de las carpetas de la unidad C:\
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 12.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables).

Info:
http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=3977
http://es.trendmicro-europe.com/enterprise/security_info/ve_detail.php?VName=PE_ZAFI.B
http://www.symantec.com/avcenter/venc/data/w32.erkez.b@mm.html
http://www.perantivirus.com/sosvirus/virufamo/zafib.htm
http://www.ikarus-software.at/portal/modules.php?name=Virenlexikon&suche=Zafi.B&submit=suche&show=I-Worm.Zafi.B
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=39333
http://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=126242
http://www.pspl.com/virus_info/worms/zafib.htm
http://www.norman.com/Virus/Virus_descriptions/15603/en


Aggiornamento AntiVirus al 14/06/04 ;)(Y)

Giorgius
14-06-2004, 21.33.28
Stinger 2.28: http://download.nai.com/products/mcafee-avert/stinger.exe

Ikarus: http://download.ikarus.at/remover/IkarusRem_Zafi.exe

BitDefender: http://www.bitdefender.com/html/free_tools.php

Giorgius
14-06-2004, 21.41.33
THE LATEST WORM to zoom through the web, the multilingual Zafi.B, has had its security alert status raised to level 2.

Leggi:
http://www.theinquirer.net/?article=16582

Giorgius
15-06-2004, 11.36.22
(ASCA) - Roma, 14 giu - Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di agosto 2004 (3.84) di Sophos Anti-Virus. Sophos ha ricevuto diverse segnalazioni su W32/Zafi-B, un worm costituito da un file a 32 bit. Maggiori informazioni su W32/Zafi-B sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/w32zafib.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/zafi-b.ide. Per informazioni su come usare i file Ide www.sophos.com/downloads/ide/using.html.

Giorgius
16-06-2004, 15.49.08
Una volta infetto il Pc, il sistema non consentirà più di accedere al registro di Windows, tantomeno di modificare l'apposita sezione di registro infetto tramite utility del caso.

Se siete collegati ad una Lan o alla linea Adsl, sganciate il cavetto di connessione e operate poi con il Tool di rimozione "Stinger" l'eliminazione automatica dei files infetti.

Lo Stinger rileverà parecchi eseguibili all'interno del vostro Hard Disk con le seguenti diciture:

"winamp 7.0 full_install.exe"
"Total Commander 7.0 full_install.exe"

Giorgius
17-06-2004, 00.12.34
Roma, 16 giu. (Adnkronos Multimedia/ITnews) - McAfee AVERT (Anti-Virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha elevato la valutazione di rischio a MEDIA per il worm W32/Zafi.b@MM , conosciuto anche come Zafi.b. Zafi.b e' un worm mass-mailing che costruisce messaggi utilizzando il proprio motore SMTP e cammuffando l'indirizzo incluso nel campo FROM:. Inoltre cerca di propagarsi in modalita' P2P, auto-copiandosi nelle cartelle presenti sul sistema locale (contenenti le parole "share" o "upload" nel nome della cartella). I ricercatori McAfee AVERT, che hanno individuato il worm per la prima volta venerdi' 11 giugno, hanno ricevuto oltre 150 segnalazioni da tutto il mondo del worm Zafi.b sia dai clienti stessi che da messaggi generati dal virus in tutto il mondo. (Mak/Adnkronos)