Troj/Zlob.CCS

ZLOB.CSS troyano de malwares y HTTP revisa visitas del usuario a sitios de adultos descarga malware.

Troj/Zlob.CCS

Zlob.CCS es un troyano reportado el 16 de Junio del 2008, que se propaga a través de la descarga de otros malwares o visitando páginas web expresamente acondicionadas.

Revisa si el susuario ha visitado determinadas páginas de adultos y se conecta a un sitio en la web desde el cual descarga un malware.

Infecta a Windows 98/NT/2000/XP y Server 2003, está desarrollado en Assembler con una extensión de 62,976 Bytes.

Una vez ingresado al sistema se copia a:

%System%\[nombre_aleatorio_de_archivo].exe

Para activarse cada vez que se re-inicie el sistema, crea la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System" = "[nombre_aleatorio_de_archivo].exe"

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

Al siguiente inicio del equipo el troyano genera la siguiente sub-llave:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion]
"[nombre_aleatorio_de_archivo].exe" = "[valor_aleatorio_hexadecimal]"

Luego el troyano revisa el cache del Internet Explorer para comprobar si el usuario ha visitado uno de los siguientes sitios para adultos:

adultchamber.com
adultwebmasterinfo.com
advertstats.com
armadaboard.com
askdamagex.com
awm.name
bbs.mediumpimpin.com
benedelman.org
bigboynetwork.com
boards.xbiz.com
castlecops.com
charliechoice.com
crutop.nu
dndialog.com
domaintalk.ru
domenforum.net
earnforum.com
extremebullshit.com
foogie.com
forum.adultinter.com
forum.hostobzor.ru
forum.kaspersky.com
forum.krawl.com
forum.ru-board.com
forum.searchengines.ru
forum.securitycadets.com
gabrielharrison.co.uk
gallerytrafficservice.com
gaymarketforum.com
gaytraffic.nl
gaywebmasterchat.com
germesia.com
gfy.com
gofuckyourself
greenguyandjim.com
jahewi.nl
jmbsoft.com
klikforum.com
krawl.biz
lavasoftsupport.com
login.advertstats.com
luxuru.com
master-x.com
nastraforum.com
netadmin.ws
netpond.com
peppersboard.com
pereroboard.com
pornresource.com
pornstarkings.com
promoforum.ru
rusawm.com
ruwebmaster.com
securitygarden.blogspot.com
seochase.com
techmonkeys.co.uk
temerc.com
tgpalliance.com
thinkreel.com
umaxforum.com
v7n.com
videosboard.com
videoscash.com
webhostingtalk.ru
webmastersarea.com
webtown.info
x-forum.info
ynotbob.com
ynotmasters.com

En caso de encontrar alguno, termina la búsqueda e intenta descargar un archivo de la dirección web:

http://[Bloqueado]/gather.php

PER ANTIVIRUS® versión X5 con registro de virus al 16 de Junio del 2008 detecta y elimina este troyano/backdoor.