TROJ_ZBOT.CAW

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Puntos de infección

Llega en forma de archivo descargado de las siguientes URL:

• http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76ri76 dfkjyf/fju64i76dj76ei67yutyri76333/zz/zz2/bot.exe
• http://{BLOCKED}gmoney.cv.ua/lj1.exe

Instalación

Crea copias de sí mismo en la carpeta del sistema de Windows y anexa códigos basura a las copias para dificultar su detección. Las copias utilizan los siguientes nombres de archivo:

• sdra73.exe
• sdra64.exe

A continuación crea el/los siguiente(s) archivo(s) no malicioso(s):

• %System%\lowsec\l0cal.ds - copy of the encrypted downloaded file
• %System%\lowsec\us3r.ds - used to save the gathered information
• %System%\lowsec\local.ds - copy of the encrypted downloaded file
• %System%\lowsec\user.ds - used to save the gathered information

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

• %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• AVIRA_2109
• _Avira_2109

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

• SVCHOST.EXE
• WINLOGON.EXE

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra73.exe,

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://{BLOCKED}ed.pl.ua/z5.cff
• http://{BLOCKED}9jkfjsdfdsdkfj.info/z5.c
• http://{BLOCKED}9sfjskdsfsdfjk3.net/z5.c
• http://{BLOCKED}gmoney.cv.ua/lj1.cfg
• http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76ri76 dfkjyf/fju64i76dj76ei67yutyri76333/zz/zz2/cfg2.bin
• http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76ri76 dfkjyf/jytdrj76ekuytdku76ekudjfg/222/cfg2.bin

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

El archivo descargado contiene información sobre dónde puede el malware descargar una copia actualizada de sí mismo y a dónde puede enviar los datos robados.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• ANZ
• Amazon
• Banca Intesa
• Banca On Line - Sella.it
• Bank of America
• Barclays
• Bebo
• Blogger
• Caja Rural
• Citibank
• Clydesdale
• Co-Operativebank
• DAB
• Ebay
• Facebook
• Flickr
• GAD
• Gruppo Carige
• HSBC
• Halifax
• ING Direct
• IS Bank
• Iside
• Key Total Treasury
• Live Journal
• Lloyds
• McAfee
• Microsoft
• Myspace
• Natwest
• OSPM
• Odnoklassniki
• PosteItaliane
• Procredit
• Qui UBI
• Raiffeisen
• SEB
• Scrigno
• Secservizi
• Silicon Valley Bank
• Smile
• Vkontakte
• Yorkshire
• YouTube

Entidades atacadas

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %System%\lowsec\us3r.ds
• %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}.{BLOCKED}.63.23/76riuyfir76fk76 ri76dfkjyf/fju64i76dj76ei67yutyri76333/zz/gate.php
• http://{BLOCKED}arm.uz.ua/lx_auto_feedback_9823.php

Otros detalles

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash MD5:

• d8e0babba8c0366e09eb6ad4908ce3d6
• 4e11c69607b9707ff45f98c874659890
• 5ae93369545aeb1039aced497df17e0e

Tiene los siguientes valores hash SHA1:

• 8bcf5069138c9782df75202a0e9b793836b2ef5c
• 1ac2f50abea94e4e86f2219fc69acd1f4fd8ddb5
• a23d3969f9abf89115506be9a5fc81a9446fc959