¡Peligro! Aparece el gusano Zafi.B

afi.B se propaga a través de correo electrónico a las direcciones que encuentra en los ordenadores afectados, en archivos con extensiones htm, wab, txt, dbx, tbb, asp, php, sht, adb, mbx, eml y pmr. Para ello, emplea su propio motor SMTP.

Los mensajes en los que Zafi.B llega al equipo tienen características variables, y pueden estar escritos en diferentes idiomas como inglés, francés, alemán, italiano o castellano, entre otros.

En caso de que el usuario ejecute el archivo adjunto a dicho mensaje y que contiene al gusano, se abrirá una ventana del navegador Internet Explorer tratando de conectarse a las direcciones www.google.com o www.microsoft.com. Además, modifica el registro de Windows introduciendo varias claves.

Zafi.B se copia en el equipo en dos archivos con nombres escogidos al azar. Además, crea archivos infectados -llamados "Total Commander 7.0 full_install.exe" o "winamp 7.0 full_install.exe"- en directorios que contengan las cadenas de texto "share" o "upload".

El gusano busca continuamente procesos en memoria que contengan las cadenas "regedit", "task" o "msconfig", de manera que, si los encuentra, los finaliza. También busca directorios que puedan corresponderse con los de programas antivirus, para sobrescribir con su propio código todos los archivos ejecutables que se encuentren en ellos.

Ante la posibilidad de un encuentro con Zafi.B, Panda Software recomienda extremar las precauciones y mantener actualizado el software antivirus. Los clientes de Panda Software ya tienen a su disposición las correspondientes actualizaciones para la detección y desinfección de este nuevo código malicioso.