PandaLabs ha detectado la aparición de Zcodec, un nuevo programa malicioso
que, como novedad, hace uso de un rootkit para ocultar sus acciones maliciosas.
Además de ello, manipula las búsquedas de los usuarios en Internet e instala
otros códigos maliciosos en el sistema.
Zcodec se incluye en un programa que supuestamente instala en el computador los
codecs necesarios para poder reproducir un determinado formato multimedia. Hay
que señalar que, cuando el usuario procede a instalar dicha aplicación, se
muestra una pantalla con una licencia de uso. Sin embargo, ni se instala ningún
codec, ni el programa espera a que el usuario acepte o no la licencia de uso, ya
que en el momento que el usuario hace click en el archivo descargado, Zcodec se
instala en el computador.
Una vez en el sistema, el primer paso es la instalación en el sistema de un
rootkit (es decir, un programa diseñado para ocultar procesos, ficheros o
entradas en el registro de Windows), de manera que el usuario no pueda ver los
archivos que se encuentran en ejecución. De esta manera, Zcodec instala dos
ficheros ejecutables. El primero de ellos modifica la configuración DNS del
equipo afectado de forma que, cuando el usuario pulsa sobre algún resultado
obtenido en motores de búsqueda como Google, la página a la que accede no es la
deseada, sino otra distinta. Con esta táctica, el autor o autores del programa
pueden conseguir importantes beneficios económicos a través de sistemas de pago
por click e, incluso, dirigir al usuario a páginas web diseñadas para robar
datos confidenciales.
El segundo archivo ejecutable puede tener dos acciones distintas, si bien
realiza cada una de forma aleatoria. En algunas ocasiones instala en el sistema
al troyano Ruins.MB, diseñado para descargar otros programas maliciosos en el
equipo. Otras veces, dicho archivo lanza continuamente un programa de casinos,
pidiendo permiso al usuario para continuar con la instalación del mismo. Sin
embargo, aunque el usuario rehúse la instalación de dicho programa de casinos,
se crea un icono en el escritorio de Windows que, cuando es pulsado, continúa
con la instalación de dicho programa.
“La combinación de diferentes técnicas es algo cada vez más frecuente en los
ataques informáticos. En este caso se emplea ingeniería social, rootkits,
troyanos, e incluso se manipula la configuración del computador. El objetivo de
sus autores es conseguir que los usuarios se infecten sin sospechar nada. Dado
que en Internet existen muchos programas maliciosos similares al que nos ocupa,
es imprescindible confiar la seguridad del equipo a un buen antivirus, que
analice objetivamente cada fichero que se encuentre en el computador”, afirma
Luis Corrons, director de PandaLabs.
Para defenderse de este tipo de programas maliciosos, además de contar con un
antivirus actualizado que combine tecnologías reactivas y proactivas para
detectar amenazas tanto conocidas como desconocidas, es necesario asegurarse de
la procedencia de los archivos descargados en el sistema, así como prestar
atención a los acuerdos de uso de los programas que se instalan en el
computador.
|