Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
11/07/2011
Com a part de la rutina d'infecció, Cidox determina quina versió de sistema operatiu s'utilitza i còpia el driver corresponent en els sectors buits del començament de la unitat. Només infecta particions NTFS i determina l'activa veient el MBR. Després procedeix a reemplaçar el codi Extended NTFS IPL (Initial Program Loader). L'original queda xifrat i salvat.
Aquest comportament forma part d'una tècnica especial que aprofita les característiques del nucli de Windows, per a carregar drivers maliciosos en el sistema. El driver en qüestió interactua amb processos com svchost.exe, iexplore.exe, firefox.exe, opera.exe i chrome.exe, a través d'una DLL especial.
En paraules de Vyacheslav Zakorzhevsky de Kaspersky:
«Aquesta llibreria modifica qualsevol eixida del navegador, substituint-la per la seua pròpia. Com a resultat, l'usuari veu una finestra que l’incita a actualitzar el navegador a causa de programes maliciosos detectats en el sistema.»
Aquesta amenaça és, efectivament, scareware, ja que demana a l'usuari enviar un SMS a un número premium per a renovar el seu navegador. Apareix de manera prou convincent amb pàgines personalitzades per a cada navegador amb imatges de les webs originals. De moment ha estat detectat només a Rússia.