PandaLabs ha detectado la aparición de Zcodec, un nuevo programa malicioso que, como novedad, hace uso de un rootkit para ocultar sus acciones maliciosas. Además de ello, manipula las búsquedas de los usuarios en Internet e instala otros códigos maliciosos en el sistema.

Zcodec se incluye en un programa que supuestamente instala en el computador los codecs necesarios para poder reproducir un determinado formato multimedia. Hay que señalar que, cuando el usuario procede a instalar dicha aplicación, se muestra una pantalla con una licencia de uso. Sin embargo, ni se instala ningún codec, ni el programa espera a que el usuario acepte o no la licencia de uso, ya que en el momento que el usuario hace click en el archivo descargado, Zcodec se instala en el computador.

Una vez en el sistema, el primer paso es la instalación en el sistema de un rootkit (es decir, un programa diseñado para ocultar procesos, ficheros o entradas en el registro de Windows), de manera que el usuario no pueda ver los archivos que se encuentran en ejecución. De esta manera, Zcodec instala dos ficheros ejecutables. El primero de ellos modifica la configuración DNS del equipo afectado de forma que, cuando el usuario pulsa sobre algún resultado obtenido en motores de búsqueda como Google, la página a la que accede no es la deseada, sino otra distinta. Con esta táctica, el autor o autores del programa pueden conseguir importantes beneficios económicos a través de sistemas de pago por click e, incluso, dirigir al usuario a páginas web diseñadas para robar datos confidenciales.

El segundo archivo ejecutable puede tener dos acciones distintas, si bien realiza cada una de forma aleatoria. En algunas ocasiones instala en el sistema al troyano Ruins.MB, diseñado para descargar otros programas maliciosos en el equipo. Otras veces, dicho archivo lanza continuamente un programa de casinos, pidiendo permiso al usuario para continuar con la instalación del mismo. Sin embargo, aunque el usuario rehúse la instalación de dicho programa de casinos, se crea un icono en el escritorio de Windows que, cuando es pulsado, continúa con la instalación de dicho programa.

“La combinación de diferentes técnicas es algo cada vez más frecuente en los ataques informáticos. En este caso se emplea ingeniería social, rootkits, troyanos, e incluso se manipula la configuración del computador. El objetivo de sus autores es conseguir que los usuarios se infecten sin sospechar nada. Dado que en Internet existen muchos programas maliciosos similares al que nos ocupa, es imprescindible confiar la seguridad del equipo a un buen antivirus, que analice objetivamente cada fichero que se encuentre en el computador”, afirma Luis Corrons, director de PandaLabs.


Para defenderse de este tipo de programas maliciosos, además de contar con un antivirus actualizado que combine tecnologías reactivas y proactivas para detectar amenazas tanto conocidas como desconocidas, es necesario asegurarse de la procedencia de los archivos descargados en el sistema, así como prestar atención a los acuerdos de uso de los programas que se instalan en el computador.