Flush.K

FLUSH.K troyano de Internet cambia configuración DNS del sistema direcciona a sitios web con archivos infectados.

Troj/Flush.K

Flush.K es un troyano residente en memoria, reportado el 19 de Enero del 2007 que se propaga a través de diversos servicios de Internet y modifica la configuración del servidor DNS de los sistemas infectados, direccionándolos a sitios web en Ukrania, que contienen malwares.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/Me/NT/2000/XP y Server 2003, está desarrollado en Visual C++ con extensión variable y comprimido con el utilitario UPX (Ultimate Packer for eXecutables):

http://upx.sourceforge.net

Al activarse se copia a las siguientes rutas con los nombres:

%System%\kd???.exe
%ProgramFiles%\DirectVideo\Uninstall.exe
%ProgramFiles%\DirectVideo

luego oculta el archivo kd???.exe de la carpeta %System%, usando la técnica Rootkit.

y para ejecutarse la próxima vez que se re-inicie el sistema agrega la llave:

[HKEY_LOCAL_MACHINE%\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"default" = "System:kd???.exe"

crea demás las siguientes sub-llaves:

%HKEY_ALL_USERS%\Software\DirectVideo
%HKEY_CLASSES_ROOT%\DirectVideo
%HKEY_CLASSES_ROOT%\DirectVideo\CLSID
%HKEY_LOCAL_MACHINE%\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DirectVideo

y comprueba la existencia del archivo rasphone.pbk en la siguiente llave:

%UserProfile%\Application Data\Microsoft\Network\Connections\Pbk\rasphone.pbk

de no hallarlo, libera su componente y lo copia a esa ruta, agregádole las siguientes líneas:

IpDnsAddress = 85.255.115.21
IpDns2Address = 85.255.112.91
IpNameAssign = 2

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

%ProgramFiles% es la variable referida a la carpeta de archivos de programa. Por defecto es C:\Program Files.

Al siguiente inicio del equipo el troyano ejecuta los siguientes comandos de Windows para actualizar la configuración del sistema:

ipconfig.exe/flushdns (borra y restablece el contenido del servicio de resolución del caché de clientes DNS)
ipconfig.exe/registerdns (inicia el registro dinámico manual de los DNS y direcciones IP configurados en un sistema)
ipconfig.exe/dnsflush (borra y restablece el contenido del servicio de resolución del caché de clientes DNS)
ipconfig.exe/renew (restaura el registro dinámico manual de los DNS configurados en un sistema)
ipconfig.exe/renew_all (restaura el registro dinámico manual de los DNS y direcciones IP configurados en un sistema)

NOTA: el Ipconfig muestra los valores vigentes de la configuración TCP/IP y actualiza la configuración de DHCP (Protocolo de configuración dinámica del servidor) y DNS (Sistema de nombres de dominio) de un sistema.

PER ANTIVIRUS® versiones 9.9 y 10.0 con registro de virus al 19 de Enero del 2007 detectan y eliminan este troyano.