Virus: Mcafee, Rischio Medio Per W32.Zafi.B

Giorgius · 14-06-2004, 20.27.15

(ASCA) - Roma, 14 giu - Mcafee Avert (Anti-Virus Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Zafi.b@MM, conosciuto anche come Zafi.b. Si tratta un worm mass-mailing che costruisce messaggi utilizzando il proprio motore Smtp e cammuffando l'indirizzo incluso nel campo FROM:. Inoltre, il worm cerca di propagarsi in modalita' P2p, auto copiandosi nelle cartelle presenti sul sistema locale (contenenti le parole ''share'' o ''upload'' nel nome della cartella). I ricercatori Mcafee Avert, che hanno individuato il worm per la prima volta venerdi' 11 giugno, hanno ricevuto oltre 150 segnalazioni da tutto il mondo del worm Zafi.b sia dai clienti stessi che da messaggi generati dal virus in tutto il mondo. Zafi.b e' un worm mass-mailing che, una volta attivato, si autoduplica nella cartella %windir%system32 utilizzando un nome a caso e estensioni .EXE e .DLL. Il worm, che si invia utilizzando varie lingue, crea una chiave di registro, in modo che i file infetti vengano eseguiti ogni volta che un computer infetto viene accesso. Zafi.b e' inoltre in grado di ricercar directory di software antivirus e personal firewall, e quindi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti dovrebbero immediatamente cancellare qualunque e-mail che contenga: From: (L'indirizzo e' falsificato). Il worm ricerca gli indirizzi email presenti sul disco fisso locale, raccogliendoli da file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Gli indirizzi raccolti vengono memorizzati in cinque file nella cartella system32 utilizzando nomi a caso e l'estensione di file .DLL. Subject: Re: (oggetto originale) Il messaggio puo' essere costruito utilizzando differenti subject e testi di messaggio. Una volta eseguito, Zafi.b si auto-duplica nella cartella %windir%system32 utilizzando un nome a caso con estensione .EXE e.DLL . Il worm poi si copia nelle directory presenti sul drive C. che contengono una delle seguenti stringhe, ''share'' o ''upload'', e utilizza uno dei seguenti nomi di file: Total Commander 7.0 full_install.exe, winamp 7.0 full_install.exe. Cercando di contrastare l'identificazione e la cancellazione manuale di un computer infetto, il worm tentera' anche di terminare il processo. Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_125301.htm.

Giorgius · 14-06-2004, 20.32.58

Aliases:
PE_ZAFI.B (Trend Micro), I.worm.zafi.B@mm (Kaspersky (viruslist.com)), W32/Zafi.B@mm (PerAntivirus), W32.Erkez.B@mm (Symantec), W32/Zafi-B (Sophos), W32/Zafi.b@MM (McAfee), W32/Zafi.B@mm (PerAntivirus), I-Worm.Zafi.b (Kaspersky (viruslist.com)), Win32/Zafi.B (Otros), Win32.Zafi.B (Computer Associates)

Effetti:
Zafi.B es un gusano residente en memoria, reportado el 11 de Junio del 2004, de propagación masiva a través de mensajes de correo en uno de varios formatos definidos, con archivos anexados de nombres aleatorios, con mas de una extensión, siendo la última PIF.
También se difunde vía las redes P2P que se encuentren instaladas.
El remitente y parte del contenido o nombre del archivo anexado, en forma aleatoria contienen el nombre de la dirección capturada en los sistemas infectados.
Sobre-escribe con su código viral los archivos con extensión .EXE de las carpetas de la unidad C:\
Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 12.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables).

Info:
http://alerta-antivirus.red.es/virus....html?cod=3977
http://es.trendmicro-europe.com/ente...Name=PE_ZAFI.B
http://www.symantec.com/avcenter/ven...rkez.b@mm.html
http://www.perantivirus.com/sosvirus/virufamo/zafib.htm
http://www.ikarus-software.at/portal...=I-Worm.Zafi.B
http://www3.ca.com/securityadvisor/v....aspx?id=39333
http://us.mcafee.com/virusInfo/defau...virus_k=126242
http://www.pspl.com/virus_info/worms/zafib.htm
http://www.norman.com/Virus/Virus_descriptions/15603/en

Aggiornamento AntiVirus al 14/06/04

(Y)

Giorgius · 14-06-2004, 20.33.28

Stinger 2.28: http://download.nai.com/products/mca...rt/stinger.exe

Ikarus: http://download.ikarus.at/remover/IkarusRem_Zafi.exe

BitDefender: http://www.bitdefender.com/html/free_tools.php

Giorgius · 14-06-2004, 20.41.33

THE LATEST WORM to zoom through the web, the multilingual Zafi.B, has had its security alert status raised to level 2.

Leggi:
http://www.theinquirer.net/?article=16582

Giorgius · 15-06-2004, 10.36.22

(ASCA) - Roma, 14 giu - Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di agosto 2004 (3.84) di Sophos Anti-Virus. Sophos ha ricevuto diverse segnalazioni su W32/Zafi-B, un worm costituito da un file a 32 bit. Maggiori informazioni su W32/Zafi-B sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/w32zafib.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/zafi-b.ide. Per informazioni su come usare i file Ide www.sophos.com/downloads/ide/using.html.

Giorgius · 16-06-2004, 14.49.08

Una volta infetto il Pc, il sistema non consentirà più di accedere al registro di Windows, tantomeno di modificare l'apposita sezione di registro infetto tramite utility del caso.

Se siete collegati ad una Lan o alla linea Adsl, sganciate il cavetto di connessione e operate poi con il Tool di rimozione "Stinger" l'eliminazione automatica dei files infetti.

Lo Stinger rileverà parecchi eseguibili all'interno del vostro Hard Disk con le seguenti diciture:

"winamp 7.0 full_install.exe"
"Total Commander 7.0 full_install.exe"

Giorgius · 16-06-2004, 23.12.34

Roma, 16 giu. (Adnkronos Multimedia/ITnews) - McAfee AVERT (Anti-Virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha elevato la valutazione di rischio a MEDIA per il worm W32/Zafi.b@MM , conosciuto anche come Zafi.b. Zafi.b e' un worm mass-mailing che costruisce messaggi utilizzando il proprio motore SMTP e cammuffando l'indirizzo incluso nel campo FROM:. Inoltre cerca di propagarsi in modalita' P2P, auto-copiandosi nelle cartelle presenti sul sistema locale (contenenti le parole "share" o "upload" nel nome della cartella). I ricercatori McAfee AVERT, che hanno individuato il worm per la prima volta venerdi' 11 giugno, hanno ricevuto oltre 150 segnalazioni da tutto il mondo del worm Zafi.b sia dai clienti stessi che da messaggi generati dal virus in tutto il mondo. (Mak/Adnkronos)

14-06-2004, 20.27.15	#1
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Virus: Mcafee, Rischio Alto Per W32.Zafi.B (ASCA) - Roma, 14 giu - Mcafee Avert (Anti-Virus Emergency Response Team) ha elevato la valutazione di rischio a media per il worm W32/Zafi.b@MM, conosciuto anche come Zafi.b. Si tratta un worm mass-mailing che costruisce messaggi utilizzando il proprio motore Smtp e cammuffando l'indirizzo incluso nel campo FROM:. Inoltre, il worm cerca di propagarsi in modalita' P2p, auto copiandosi nelle cartelle presenti sul sistema locale (contenenti le parole ''share'' o ''upload'' nel nome della cartella). I ricercatori Mcafee Avert, che hanno individuato il worm per la prima volta venerdi' 11 giugno, hanno ricevuto oltre 150 segnalazioni da tutto il mondo del worm Zafi.b sia dai clienti stessi che da messaggi generati dal virus in tutto il mondo. Zafi.b e' un worm mass-mailing che, una volta attivato, si autoduplica nella cartella %windir%system32 utilizzando un nome a caso e estensioni .EXE e .DLL. Il worm, che si invia utilizzando varie lingue, crea una chiave di registro, in modo che i file infetti vengano eseguiti ogni volta che un computer infetto viene accesso. Zafi.b e' inoltre in grado di ricercar directory di software antivirus e personal firewall, e quindi sovrascrivere gli eseguibili con una copia di se stesso. Gli utenti dovrebbero immediatamente cancellare qualunque e-mail che contenga: From: (L'indirizzo e' falsificato). Il worm ricerca gli indirizzi email presenti sul disco fisso locale, raccogliendoli da file che hanno le seguenti estensioni: htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml, pmr. Gli indirizzi raccolti vengono memorizzati in cinque file nella cartella system32 utilizzando nomi a caso e l'estensione di file .DLL. Subject: Re: (oggetto originale) Il messaggio puo' essere costruito utilizzando differenti subject e testi di messaggio. Una volta eseguito, Zafi.b si auto-duplica nella cartella %windir%system32 utilizzando un nome a caso con estensione .EXE e.DLL . Il worm poi si copia nelle directory presenti sul drive C. che contengono una delle seguenti stringhe, ''share'' o ''upload'', e utilizza uno dei seguenti nomi di file: Total Commander 7.0 full_install.exe, winamp 7.0 full_install.exe. Cercando di contrastare l'identificazione e la cancellazione manuale di un computer infetto, il worm tentera' anche di terminare il processo. Informazioni aggiornate e le cure per questo nuovo worm sono disponibili sul sito Network Associates Mcafee Avert all'indirizzo: http://vil.nai.com/vil/content/v_125301.htm. Ultima modifica di Giorgius : 16-06-2004 alle ore 23.16.33

14-06-2004, 20.32.58	#2
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Aliases: PE_ZAFI.B (Trend Micro), I.worm.zafi.B@mm (Kaspersky (viruslist.com)), W32/Zafi.B@mm (PerAntivirus), W32.Erkez.B@mm (Symantec), W32/Zafi-B (Sophos), W32/Zafi.b@MM (McAfee), W32/Zafi.B@mm (PerAntivirus), I-Worm.Zafi.b (Kaspersky (viruslist.com)), Win32/Zafi.B (Otros), Win32.Zafi.B (Computer Associates) Effetti: Zafi.B es un gusano residente en memoria, reportado el 11 de Junio del 2004, de propagación masiva a través de mensajes de correo en uno de varios formatos definidos, con archivos anexados de nombres aleatorios, con mas de una extensión, siendo la última PIF. También se difunde vía las redes P2P que se encuentren instaladas. El remitente y parte del contenido o nombre del archivo anexado, en forma aleatoria contienen el nombre de la dirección capturada en los sistemas infectados. Sobre-escribe con su código viral los archivos con extensión .EXE de las carpetas de la unidad C:\ Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++, con una extensión de 12.5 KB y comprimido con el utilitario UPX (Ultimate Packer for eXecutables). Info: http://alerta-antivirus.red.es/virus....html?cod=3977 http://es.trendmicro-europe.com/ente...Name=PE_ZAFI.B http://www.symantec.com/avcenter/ven...rkez.b@mm.html http://www.perantivirus.com/sosvirus/virufamo/zafib.htm http://www.ikarus-software.at/portal...=I-Worm.Zafi.B http://www3.ca.com/securityadvisor/v....aspx?id=39333 http://us.mcafee.com/virusInfo/defau...virus_k=126242 http://www.pspl.com/virus_info/worms/zafib.htm http://www.norman.com/Virus/Virus_descriptions/15603/en Aggiornamento AntiVirus al 14/06/04 (Y) Ultima modifica di Giorgius : 15-06-2004 alle ore 11.46.14

14-06-2004, 20.33.28	#3
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Tool di rimozione: Stinger 2.28: http://download.nai.com/products/mca...rt/stinger.exe Ikarus: http://download.ikarus.at/remover/IkarusRem_Zafi.exe BitDefender: http://www.bitdefender.com/html/free_tools.php Ultima modifica di Giorgius : 14-06-2004 alle ore 21.50.39

14-06-2004, 20.41.33	#4
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Zafi.B works its way through Internet THE LATEST WORM to zoom through the web, the multilingual Zafi.B, has had its security alert status raised to level 2. Leggi: http://www.theinquirer.net/?article=16582

15-06-2004, 10.36.22	#5
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Virus: Sophos Segnala w32/zafi-b (ASCA) - Roma, 14 giu - Un nuovo identity file (Ide) e' disponibile sul sito di Sophos e sara' incluso nella versione di agosto 2004 (3.84) di Sophos Anti-Virus. Sophos ha ricevuto diverse segnalazioni su W32/Zafi-B, un worm costituito da un file a 32 bit. Maggiori informazioni su W32/Zafi-B sono disponibili all'indirizzo www.sophos.com/virusinfo/analyses/w32zafib.html. E' possibile scaricare il file Ide da www.sophos.com/downloads/ide/zafi-b.ide. Per informazioni su come usare i file Ide www.sophos.com/downloads/ide/using.html.

16-06-2004, 14.49.08	#6
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Una volta infetto il Pc, il sistema non consentirà più di accedere al registro di Windows, tantomeno di modificare l'apposita sezione di registro infetto tramite utility del caso. Se siete collegati ad una Lan o alla linea Adsl, sganciate il cavetto di connessione e operate poi con il Tool di rimozione "Stinger" l'eliminazione automatica dei files infetti. Lo Stinger rileverà parecchi eseguibili all'interno del vostro Hard Disk con le seguenti diciture: "winamp 7.0 full_install.exe" "Total Commander 7.0 full_install.exe"

16-06-2004, 23.12.34	#7
Giorgius Gold Member Top Poster Registrato: 26-08-2000 Loc.: tokyo city Messaggi: 8.374	Virus: Allarme Giallo Per Il Nuovo Worm W32/Zafi.b@Mm Roma, 16 giu. (Adnkronos Multimedia/ITnews) - McAfee AVERT (Anti-Virus Emergency Response Team), la divisione di ricerca anti-virus di Network Associates, ha elevato la valutazione di rischio a MEDIA per il worm W32/Zafi.b@MM , conosciuto anche come Zafi.b. Zafi.b e' un worm mass-mailing che costruisce messaggi utilizzando il proprio motore SMTP e cammuffando l'indirizzo incluso nel campo FROM:. Inoltre cerca di propagarsi in modalita' P2P, auto-copiandosi nelle cartelle presenti sul sistema locale (contenenti le parole "share" o "upload" nel nome della cartella). I ricercatori McAfee AVERT, che hanno individuato il worm per la prima volta venerdi' 11 giugno, hanno ricevuto oltre 150 segnalazioni da tutto il mondo del worm Zafi.b sia dai clienti stessi che da messaggi generati dal virus in tutto il mondo. (Mak/Adnkronos)

Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 ospiti)

Strumenti discussione
Visualizza versione stampabile Invia questa pagina via e-mail

Discussioni simili
Discussione	Autore discussione	Forum	Risposte	Ultimo messaggio
Virus: Mcafee, Rischio Medio Per Bagle.Az	Giorgius	Sicurezza&Privacy	0	30-09-2004 14.32.14
Virus: Mcafee, Rischio Medio Per Bagle.Ai	Giorgius	Sicurezza&Privacy	3	23-07-2004 23.11.07
Virus: Mcafee, Rischio Medio Per Bagle.Af	Giorgius	Sicurezza&Privacy	3	17-07-2004 00.59.37
Virus: Mcafee, Rischio Medio Per Lovgate.Ad	Giorgius	Sicurezza&Privacy	0	05-07-2004 21.44.24
--> W32/Swen@MM - McAfee segnala rischio medio <--	Bico Bico	Sicurezza&Privacy	27	25-09-2003 10.28.19