Así, a una dirección con dominio “.es” enviará mensajes escritos en castellano, mientras que a otra con dominio “.de”, mandará textos en alemán. Asimismo, dichos e-mails adjuntan un archivo de nombre variable, escogido a partir de una extensa lista de opciones.
En caso de que el usuario ejecute el citado fichero, que en realidad contiene a Zafi.D, se mostrará en pantalla un falso mensaje de error, y el gusano se enviará por correo electrónico -utilizando su propio motor SMTP-, a las direcciones que encuentra en archivos con determinadas extensiones que estén almacenados en el ordenador. Asimismo impide el acceso a las aplicaciones que contengan las cadenas reged, msconfig o task. Por otra parte, Zafi.D introduce varias entradas en el registro de Windows, con el fin de asegurar su ejecución cada vez que se reinicie el ordenador.
Para su propagación a través de aplicaciones P2P, Zafi.D se copia en todas las carpetas de la unidad C: cuya ruta contenga los textos share, upload o music. Los nombres que puede utilizar para ello sonwinamp 5.7 new!.exe o ICQ 2005a new!.exe.
Dadas las fechas en que nos encontramos, esta forma de ingeniería social podría ayudar a que un gran número de equipos queden infectados por este nuevo código malicioso. De hecho, la red internacional de Servicio de Soporte Técnico de Panda Software ha comenzado a registrar incidencias provocadas por Zafi.D en un gran número de países.
Lo más recomendable es extremar las precauciones ante cualquier mensaje de correo electrónico recibido