Registro de Virus

VoDKa2 · #3 04-05-2006, 21:13:42

<table width="99%" border="0">
<tbody>
<tr>
<td>Trojan/Zlob.K</td>
<td>
<div align="right"><a href="http://www.hacksoft.com.pe/virus/trojan_zlob_k.htm#"><img width="90" height="33" border="0" alt="Imprimir descripción de Virus" onmousedown="MM_callJS('imprimirPagina()')" src="http://www.hacksoft.com.pe/imgweb/imprimir_peq_5_col.gif" /></a></div>
</td>
</tr>
<tr>
<td colspan="2">*</td>
</tr>
</tbody>
</table>
<table width="100%" cellspacing="0" cellpadding="2" border="2">
<tbody>
<tr>
<td width="20%" valign="top" height="39">Nombre:</td>
<td width="80%" valign="top" height="39"> Trojan/Zlob.K Alias: Trojan.Zlob.K, TROJ_ZLOB.MU</td>
</tr>
<tr>
<td width="20%" valign="top" height="22">Tipo:</td>
<td width="80%" valign="top" height="22"> Troyano</td>
</tr>
<tr>
<td width="20%" valign="top" height="26">Tamaño:</td>
<td width="80%" valign="top" height="26">18,340 Bytes (.exe), 53,760 Bytes (.dll)</td>
</tr>
<tr>
<td width="20%" valign="top" height="22">Origen:</td>
<td width="80%" valign="top" height="22">Internet</td>
</tr>
<tr>
<td width="20%" valign="top" height="23">Destructivo:</td>
<td width="80%" valign="top" height="23">SI</td>
</tr>
<tr>
<td width="20%" valign="top" height="23">En la calle *(in the wild):</td>
<td width="80%" valign="top" height="23">SI</td>
</tr>
<tr>
<td width="20%" valign="top" height="22">Detección y eliminación:</td>
<td width="80%" valign="top" height="22">The Hacker 5.9 al 22/04/2006.</td>
</tr>
</tbody>
</table>
Descripción
Trojan/Zlob.K, es un troyano que permite el acceso remoto y no permitido de un intruso al computador atacado, descarga y ejecuta archivos remotos, modifica la página de Inicio y búsqueda del Internet Explorer.
Cuando el troyano se ejecuta se copia a si mismo con todos sus componentes dentro de:
<ul>
<li>%system%hp[caracteres aleatorios].tmp</li>
<li>%system%
compat.tlb</li>
<li>%system%interf.tlb</li>
</ul>
Nota: - %system% representa la carpeta "system" dentro de Windows (Ej. C:WINDOWSSYSTEM, <a style="text-decoration: none;" href="file:///C:/WINNT/SYSTEM32"> C:WINNTSYSTEM32</a>)
*
Además crea la siguiente entrada en el registro para poder ejecutarse en cada inicio del sistema:
 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersiónPoliciesExplore rRun
 "nvctrl.exe"="nvctrl.exe"
*
 También crea las siguientes entradas en el registro:
 *
<ul>
<li>HKEY_LOCAL_MACHINESOFTWAREClassesC LSID{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}</li>
<li>HKEY_LOCAL_MACHINESOFTWAREMicrosof tWindowsCurrentVersionExplorerBrowser Helper Objects{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} </li>
<li>HKEY_LOCAL_MACHINESOFTWAREMicrosof tWindowsCurrentVersionExplorerBrowser Helper Objecta{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} </li>
</ul>
Luego elimina todos los valores que se encuentren dentro de las siguientes llaves del registro:
*
*
<ul type="disc" style="margin-top: 0cm; margin-bottom: 0cm;">
<li class="MsoNormal"> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionExplorerBrowser Helper Objects</li>
<li class="MsoNormal"> HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentV ersionExplorerBrowser Helper Objecta</li>
</ul>
También crea una llave cifrada en las siguientes carpetas, la cual puede utilizar para cifrar datos asociados al troyano o a cualquier información que recopila de la computadora infectada.
*
<ul>
<li>%UserProfile%Application DataMicrosoftCryptoRSA </li>
<li>%UserProfile%Application DataMicrosoftProtect</li>
</ul>
Cambia la configuración de la página de Inicio del Internet Explorer con la siguiente dirección Web
*
<ul>
<li>
www.securitysafeguards.net
</li>
</ul>
También cambia las configuraciones de la página de búsqueda y la pagina de error cuando no encuentra un sitio Web, utiliza las siguientes direcciones Url.
*
*
<ul type="disc" style="margin-top: 0cm; margin-bottom: 0cm;">
<li class="MsoNormal">www.securitysafeguards.n et/search.php</li>
<li class="MsoNormal">www.dns404.net/</li>
</ul>
Finalmente puede descargar y ejecutar archivos remotos.