|
Troj/Emcodec.F
Emcodec.F es un troyano residente en memoria reportado el 02 de Agosto del 2006, que se propaga a través de diversos servicios de Internet. Libera un troyano/backdoor de nombre Zlob el cual al momento de ejecutarse muestra la Licencia de Uso y el proceso inicial de instalación del IntCodec 6.0 que es un "codec" que optimiza la ejecución de archivos multimedia.Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está desarrollado en Microsoft Visual C++, tiene 32 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):
Cuando el troyano es ejecutado
se copia a la ruta y con el nombre:
%ProgramFiles%\IntCodec\uninst.exe
libera y copia a esa misma ruta el archivo zcodec.exe, que es una copia del troyano Zlob creando las siguientes sub-llaves:
[HKEY_CLASSES_ROOT\AVZipEnchancer.Chl\CLSID]
"default" = "{6BF52A52-394A-11D3-B153-00C04F79FAA6}"
[HKEY_CLASSES_ROOT\VSEnchancer.Chl\CLSID]
"default" = "{6BF52A52-394A-11D3-B153-00C04F79FAA6}"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\App
Paths\zcodec.exe]
"default" =
"C:\Program Files\IntCodec\zcodec.exe"
agrega los siguientes valores::
"DisplayName" = "IntCodec 6.0"
"DisplayVersion" = "6.0"
"ProductionEnvironment" = "1"
"Publisher" = "IntCodec Software"
"URLInfoAbout" = "www.intcodec.com"
"UninstallString" = "C:\Program Files\IntCodec\uninst.exe"
a la sub-llave de registro:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\IntCodec]
El troyano/backdoor Zlob
permite que intrusos ejecuten comandos remotos vía HTTP o MSN Messenger en los
sistemas que logre infectar.
Al momento de ejecutarse muestra el End User License Agreement (Eula) y el proceso inicial de instalación del IntCodec versión 6.0 que es un "codec" para optimizar la ejecución de archivos multimedia.
PER ANTIVIRUS® versión 9.8 con registro de virus al 02 de Agosto del 2006 detecta y elimina este troyano.
