Hexzone es un troyano reportado el 09 de Octubre del 2008 que se propaga descargado conjuntamente con otros malwares o visitando páginas web expresamente acondicionadas.

Infecta Windows 95/98/Me/NT/2000/XP/Vista y Server 2003 está desarrollado en Assembler con extensión variable.

Muestra publicidad no deseada (Adware) en el navegador, descarga malwares de diversos sitios web y se actualiza sí mismo.

Al ingresar a un sistema se copia a la carpeta %System% con el nombre de qlplib.dll y crea las siguientes sub-llaves:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID]
qlplib.DLL
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID]
{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
{1408E208-2AC1-42D3-9F10-78A5B36E05AC}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
{D82C6C8A-3561-4A19-A128-F42ED5C15D45}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID]
{FBC65A12-7967-4E53-B852-D6BCE504827A}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface]
{06C867BE-5BDA-4AE6-9A83-B55436397E8A}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface]
{FBC65A12-7967-4E53-B852-D6BCE504827A}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib]
{38E94D22-304B-46F1-AFB9-94D1C5EE8771}
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
xvideoplugin.JetMimeFiltr
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
xvideoplugin.JetVideoPlugin
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
xvideoplugin.JetVideoPlugin.1

Para ser ejecutado la próxima vez que se re-inicie el sistema crea las llaves de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\qlplib.DLL]
"AppID" = "{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID]
{B0ED4726-5BC8-4E22-A7A8-3074A73CE64E}\"" = "qlplib"

Al siguiente inicio del equipo el troyano se registra como un Objeto de Ayuda de Navegador Browser Helper Object (BHO) para el Internet Explorer, con la siguiente llave:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{143537BB-C1AD-456A-927A-CF7B5F1D12AE}
Finalmente el troyano muestra publicidad no deseada en el navegador y descarga malwares de diversos sitios, incluyendo actualizaciones del propio troyano.