Zlob.CBK

ZLOB.CVK troyano de sitios web de Internet simula ser utilitario de compresión manipula DNS facilita ataques masivos.

Troj/ZLOB.CVK

ZLOB.CVK es un troyano residente en memoria, reportado el 21 de Marzo del 2007 que se propaga a través de Internet, princialmente desde sitios en la web que prestan servicios gratuitos como YouTube, MySpace, etc.

El troyano es propagado en un archivo comprimido con formato NSIS y modifica la configuracion del DNS facilitando a los intrusos realizar ataques masivos desde el sistema infectado hacia otras direccines IP.

Es un PE (Portable Ejecutable) e infecta Windows 95/98/NT/Me/2000/XP y Server 2003, está programado en Visual C++, con una extensión de 194KB para el componente "dropper" y 63KB para su archivo ejecutable. Está comprimido con los utilitarios NSIS y RPCrypt.

Al ser activado se copia a la carpeta %Temp% de Windows con los nombres:

[carpeta_aleatoria]\modern-header.bmp (archivo inocuo de imagen)
[carpeta_aleatoria]\nsExec.dll (archivo inocuo componente del software NSIS)
[carpeta_aleatoria]\StartMenu.dll (archivo inocuo componente del software NSIS)
1.rar (archivo comprimido con formato RAR y protegido con una contraseña)
UnRAR.exe (archivo inocuo de comando RAR)

El archivo 1.RAR contiene los siguiente componentes del troyano:

01.exe
02.exe

Luego extrae y ejecuta el archivo 1.RAR desempaquetándolo con UNRAR.EXE y despues de abierto borra los archivos 1.RAR y UNRAR.EXE.

Para completar el angaño al usuario, al aparentar ser un programa de códificación válida, de nombre MovieCommander, el troyano ejecuta las siguientes rutinas similares a las normales de su instalación:

Muestra en pantalla las cajas de diálogo de instalación, incluyendo el "Acuerdo de Licencia"
Crea una carpeta en Archivos de programa la cual contiene un UNINSTALL.EXE
Crea una opción en el menu de Inicio para que el supuesto codificador sea instalado
Crea las llaves de registro correspondientes a este supuesto codificador

El troyano se copia a sí mismo en la carpeta %System% usando un nombre aleatorio con extensión .EXE, lo ejecuta y se auto-destruye.

Crea la llave de registro:

[HKEY_CURRENT_USER\Control Panel\International\Geo]

Y después procede a modificar la siguiente llave:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System" = "[nombre_de_archivo_del_troyano].EXE"

%Temp% es la variable C:\Windows\Temp en Windows 95/98/Me, C:\Winnt\Temp en Windows NT\2000 y C:\Document and Settings\[nombre_de _usuario]\Local Settings\Temp en Windows XP/Server 2003.

%System% es la variable C:\Windows\System para Windows 95/98/Me, C:\Winnt\System32 para Windows NT/2000 y C:\Windows\System32 para Windows XP y Windows Server 2003.

inserta su código viral en los siguientes procesos, para luego borrarse a sí mismo:

csrss.exe
explorer.exe
iexplore.exe

El código insertado extrae información del cache URL y monitorea las actividades de Internet.

El archivo 02.EXE modifica la configuración de Domain Name System (DNS) con la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{Network ID}]
DhcpNameServer = "85.255.115.51,85.255.112.187"
NameServer = "85.255.115.51,85.255.112.187"

Esta modificación facilita a los intrusos a realizar ataques masivos desde el sistema infectado hacia otras direcciones IP,

PER ANTIVIRUS® versión 10.0 con registro de virus al 21 de Marzo del 2007 detecta y elimina este gusano troyano.