El gusano Zafi.D aparenta ser una felicitación navideña

n el asunto del e-mail en el que se propaga nos felicita la Navidad. El cuerpo del mensaje, en formato HTML, puede incluir un texto felicitando las fiestas con un pequeño gráfico animado .GIF, seguidos de una línea con una sonrisa ":)" y el nombre del remitente. Al final del mensaje aparece una URL con el dominio del correo electrónico del destinatario y el nombre de archivo adjunto, simulando que se trata de una postal gráfica.

Ejemplo de mensaje del gusano:

---

De: Usuario XXX
Para: ejemplo@victima.com
Asunto: Merry Christmas!

Adjunto: postcard.index.htm7521.cmd

Cuerpo:

* .... [gráfico animado].... *

:) Usuario XXX

http://victima.com/postcard.index.htm7521 - Picture Size: 11KB, Mail: +OK

---

Zafi.D se propaga en diferentes idiomas dependiendo del dominio de la dirección de correo a la que se envía, de forma que los textos utilizados pueden ser:

boldog karacsony...
Buon Natale!
Christmas - Kartki!
Christmas Kort!
Christmas pohlednice
Christmas postikorti!
Christmas Postkort!
Christmas Vykort!
ecard.ru
Feliz Navidad!
Fröhliche Weihnachten!
Glaedelig Jul!
God Jul!
Happy HollyDays!
Iloista Joulua!
Joyeux Noel!
Kellemes Unnepeket!
Merry Christmas!
Naulieji Metai!
Prettige Kerstdagen!
Prettige Kerstdagen!
Veselé Vánoce!
Weihnachten card.
Wesolych Swiat!

si un usuario ejecuta el archivo del gusano creyendo que se trata de una postal navideña, Zafi.D simula que no puede abrirse debido a un error, haciendo aparecer una ventana con el título "CRC: 04F78h" y el mensaje "Error in packed file!".

Cuando aparezca ese mensaje, el gusano habrá comenzado la infección del sistema. En la carpeta de sistema de Windows crea varios archivos, que incluyen copias del gusano, una como "Norton Update.exe" y dos con nombres de archivos al azar y extensión .DLL.

Introduce varias entradas en el registro de Windows, la típica en la clave RUN para asegurarse su ejecución en cada inicio de sistema: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run "Wxp4"=C:\WINDOWS\SYSTEM32\Norton Update.exe

Y una segunda donde almacena información adicional del gusano:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Wxp4

El gusano recolecta direcciones a las que enviarse de los archivos
que encuentra en el sistema infectado cuya extensión sea: .adb, .asp, .dbx, .eml, .fpt, .htm, .inb, .mbx, .php, .pmr, .sht, .tbb, .txt,
o .wab.

Zafi.D evita enviarse a las direcciones de correo electrónico que
contenga alguna de las siguientes cadenas de texto: admi, cafee, google, help, hotm, info, kasper, micro, msn, panda, secur, sopho, suppor, syman, trend, use, viru, webm, win o yaho.

Para propagarse a través de redes P2P, el gusano se copia en todas las carpetas de la unidad C: que contenta alguna de las siguientes cadenas: share, upload o music. Los nombres de esas carpetas suelen coincidir con los directorios utilizados por los clientes P2P para compartir archivos, de forma que el gusano pasa a formar parte de los archivos compartidos en la red.

Para intentar que los usuarios se lo descarguen, ejecuten e infecte, el gusano se copia en dichas carpetas utilizando nombres llamativos, como nuevas versiones de aplicaciones muy extendidas, ejemplos: "winamp5.7 new!.exe" o "ICQ 2005a new!.exe".

Por último Zafi.D también incluye algunas características para
intentar evadir al software de seguridad, como antivirus y firewalls personales, eliminando sus procesos en memoria. Adicionalmente también intenta prevenir la desinfección manual, finalizando los procesos que contentan las cadenas de "msconfig", "reged", o "task".