¿Qué sucedería si nada más iniciar sesión en tu sistema Windows te encuentras con que tu escritorio está lleno de publicidad? Pues eso es lo que han sufrido más de 100.000 usuarios por culpa de troyano Zbot. Se trata de una nueva variante que ha sido detectada esta misma semana y que según expertos de TrendMicro solo lleva activa 7 días.

A pesar de que el pasado año algunas variantes del troyano estuvieron distribuyéndose por Internet, en RedesZone la primera vez que nos hicimos eco de la presencia de este virus fue hace dos años, cuando originariamente se encargaba de modificar el registro de los sistemas operativos Windows y robaba los credenciales almacenados en el ordenador, además de hacer que la navegación web del usuario pasase por sitios web con una gran cantidad de publicidad y con una alta probabilidad de poseer contenido malware.

Sin embargo, la nueva variante que ha sido detectada tiene una finalidad muy distinta a la del troyano original.

Sitios web con numerosa publicidad e imposibilidad para interactuar con el sistema operativo

De momento se ha detectado que el malware se distribuye haciendo uso de programas P2P, haciéndose pasar por programas generadores de claves o de números de serie para determinados productos.

Una vez que este ha conseguido llegar al sistema y ha sido ejecutado por el usuario este procede a instalarse en el equipos. Con un antivirus actualizado, desde TrendMicro advierten que el virus puede ser detectado y evitar que se instale en el sistema, algo que evitará que el usuario se vea afectado por lo problemas que este puede causar.

En caso de no tenerlo, el troyano continuará con su instalación y una vez realizada llevará a cabo ciertas tareas de edición de archivos del registro de Windows. Concrétamente, el malware se protege para que el usuario no sea capaz de finalizar el proceso, y para esto lleva a cabo el deshabitado del administrador de tareas.

Además de esto, Zbot instala software adicional en forma de barras de herramientas para el navegador y algún que otro programa espía.

Hasta aquí se encuentra todo dentro de lo normal y que podría ser considerado como habitual de muchos virus. Sin embargo, el usuario también notará que no puede realizar ningún tipo de operación con el sistema operativo. En el momento que trate de acceder a una carpeta o al menú de inicio, el troyano abrirá el navegador mostrando páginas web con contenido publicitario, no permitiendo al usuario que abandone el navegador.

Solución: modo a prueba de fallos y un software de seguridad

Desde TrendMicro han afirmado que si se está infectado existe una posibilidad de eliminar el malware recurriendo al modo a prueba de fallos del sistema operativo Windows o bien utilizado por ejemplo un mini windows XP o 7, contenido por ejemplo en el Hiren´s Boot. Una vez hemos conseguido arrancar de alguna de las dos formas, hay que recurrir a uno o varios software de seguridad para eliminar Zbot y así conseguir recuperar el control sobre el sistema operativo.

Fuente | E Hacking News

http://www.redeszone.net/2014/03/21/una-variante-del-troyano-zbot-llena-de-publicidad-los-equipos-windows/