TSPY_ZBOT.AWM
PWS:Win32/Zbot.gen!Y (Microsoft), PWS-Zbot.gen.hb (Mcafee), Trojan-Spy.Win32.Zbot.cdej (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Spyware
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %User Profile%\Application Data\{random letters 1}\{random letters}.exe - copy of itself
- %User Profile%\Application Data\{random letters 2}\{random letters}.{random letters} - encrypted file
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Crea las carpetas siguientes:
- %User Profile%\Application Data\{random letters 1}
- %User Profile%\Application Data\{random letters 2}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = %User Profile%\Application Data\{random letters 1}\{random letters}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
{random letters}
Robo de información
Accede al siguiente sitio para descargar su archivo de configuración:
- http://{BLOCKED}jazz.ru/search/new81me.bin
- http://{BLOCKED}oys.ru/frendshipjp.bin