TSPY_ZBOT.XMAS

Para obtener una visión integral del comportamiento de este Spyware, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo infiltrado otro malware. Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos. Este malware puede haberlo descargado otro malware desde sitios remotos.

Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Detalles de entrada

Puede haberlo infiltrado otro malware.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba sitios Web maliciosos.

Puede haberlo descargado inadvertidamente un usuario mientras visitaba los siguientes sitios Web maliciosos:

• http://{BLOCKED}developersdk.com/wp-admin/includes/card.zip

Este malware puede descargarlo desde sitio(s) remoto(s) el malware siguiente:

• HTML_IFRAME.SMAX

Instalación

Infiltra los archivos siguientes:

• %System%\lowsec\local.ds - copy of the encrypted downloaded file
• %System%\lowsec\user.ds.lll
• %System%\lowsec\user.ds - used to save the gathered information
• %system%\sdra64.exe - copy of itself

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las carpetas siguientes:

• %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• _AVIRA_2109

Este malware se inyecta en los siguientes procesos que se ejecutan en la memoria:

• WINLOGON.EXE
• SVCHOST.EXE

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = "{computer name}_{random numbers}"

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_USERS\.DEFAULT\Software\
Microsoft\ Windows\CurrentVersion\
Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}

HKEY_USERS\.DEFAULT\Software\
Microsoft\ Windows\CurrentVersion\
Explorer\{19127AD2-394B-70F5-C650-B97867BAA1F7}

HKEY_USERS\.DEFAULT\Software\
Microsoft\Protected Storage System Provider

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = "0"

Modificar el archivo HOSTS

Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

• 127.0.0.1 downloads
• 127.0.0.1 downloads
• 127.0.0.1 downloads
• 127.0.0.1 downloads
• 127.0.0.1 downloads
• 127.0.0.1 rads.mcaf
• 127.0.0.1 liveupdat
• 127.0.0.1 liveupdat
• 127.0.0.1 liveupdat
• 127.0.0.1 update.sy
• 127.0.0.1 download7
• 127.0.0.1 download6
• 127.0.0.1 download5
• 127.0.0.1 download4
• 127.0.0.1 download3
• 127.0.0.1 download2
• 127.0.0.1 download1
• 127.0.0.1 avu.zonel
• 127.0.0.1 retail.sp
• 127.0.0.1 retail01.
• 127.0.0.1 retail02.
• 127.0.0.1 acs.panda
• 127.0.0.1 pccreg.an
• 127.0.0.1 dl1.antiv
• 127.0.0.1 dl2.antiv
• 127.0.0.1 dl3.antiv
• 127.0.0.1 dl4.antiv
• 127.0.0.1 fr.mcafee
• 127.0.0.1 mcafee.co
• 127.0.0.1 antivirus
• 127.0.0.1 ftp.esafe
• 127.0.0.1 ftp.europ
• 127.0.0.1 ftp.syman
• 127.0.0.1 us.mcafee
• 127.0.0.1 security.
• 127.0.0.1 download.
• 127.0.0.1 shop.syma
• 127.0.0.1 dispatch.
• 127.0.0.1 f-secure.
• 127.0.0.1 kaspersky
• 127.0.0.1 mast.mcaf
• 127.0.0.1 secure.na
• 127.0.0.1 sophos.co

Robo de información

Controla la actividad de Internet Explorer (IE) del sistema afectado, en particular la barra de direcciones. Recrea un sitio Web legítimo con una página de inicio de sesión falsa cuando un usuario visita sitios de banca con las siguientes cadenas en la barra de direcciones y/o barra de título:

• */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
• *.ebay.com/*eBayISAPI.dll?*
• https://www.us.hsbc.com/*
• https://www.e-gold.com/acct/li.asp
• https://www.e-gold.com/acct/balance.asp*
• https://online.wellsfargo.com/das/cgi-bin/session.cgi*
• https://www.wellsfargo.com/*
• https://online.wellsfargo.com/login*
• https://online.wellsfargo.com/signon*
• https://www.paypal.com/*/webscr?cmd=_account
• https://www.paypal.com/*/webscr?cmd=_login-done*
• https://www#.usbank.com/internetBanking/LoginRouter
• https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
• https://www#.citizensbankonline.com/*/index-wait.jsp
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
• https://www.suntrust.com/portal/server.pt*parentname=Login*
• https://www.53.com/servlet/efsonline/index.html*
• https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
• *sitekey.bankofamerica.com*
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
• https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
• *chase.com*
• https://resources.chase.com/MyAccounts.aspx
• *usaa.com*
• *wamu.com*
• https://bancaonline.openbank.es/servlet/PProxy?*
• https://extranet.banesto.es/*/loginParticulares.htm
• https://banesnet.banesto.es/*/loginEmpresas.htm
• https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
• https://www.gruposantander.es/bog/sbi*?ptns=acceso*
• https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
• https://www.bancajaproximaempresas.com/ControlEmpresas*
• *citibank*
• https://probanking.procreditbank.bg/main/main.asp*
• https://ibank.internationalbanking.barclays.com/logon/icebapplication*
• https://ibank.barclays.co.uk/olb/x/LoginMember.do
• https://online-offshore.lloydstsb.com/customer.ibc
• https://online-business.lloydstsb.co.uk/customer.ibc
• https://www.dab-bank.com*
• http://www.hsbc.co.uk/1/2/personal/internet-banking*
• https://www.nwolb.com/Login.aspx*
• https://home.ybonline.co.uk/login.html*
• https://home.cbonline.co.uk/login.html*
• https://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
• https://welcome23.smile.co.uk/SmileWeb/start.do
• https://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
• https://www2.bancopopular.es/AppBPE/servlet/servin*
• https://www.bancoherrero.com/es/*
• https://pastornetparticulares.bancopastor.es/SrPd*
• https://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
• https://www.caja-granada.es/cgi-bin/INclient_2031
• https://www.fibancmediolanum.es/BasePage.aspx*
• https://carnet.cajarioja.es/banca3/tx0011/0011.jsp
• https://www.cajalaboral.com/home/acceso.asp
• https://www.cajasoldirecto.es/2106/*
• https://www.clavenet.net/cgi-bin/INclient_7054
• https://www.cajavital.es/Appserver/vitalnet*
• https://banca.cajaen.es/Jaen/INclient.jsp
• https://www.cajadeavila.es/cgi-bin/INclient_6094
• https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
• http://caixasabadell.net/banca2/tx0011/0011.jsp
• https://www.caixaontinyent.es/cgi-bin/INclient_2045
• https://www.caixalaietana.es/cgi-bin/INclient_2042
• https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
• https://areasegura.banif.es/bog/bogbsn*
• https://www.bgnetplus.com/niloinet/login.jsp
• https://www.caixagirona.es/cgi-bin/INclient_2030*
• https://www.unicaja.es/PortalServlet*
• https://www.sabadellatlantico.com/es/*
• https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
• https://www.cajabadajoz.es/cgi-bin/INclient_6010*
• https://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
• https://montevia.elmonte.es/cgi-bin/INclient_2098*
• https://www.cajacanarias.es/cgi-bin/INclient_6065
• https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
• https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
• https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
• https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
• https://hb.quiubi.it/newSSO/x11logon.htm
• https://www.iwbank.it/private/index_pub.jhtml*
• https://web.secservizi.it/siteminderagent/forms/login.fcc
• https://www.isideonline.it/relaxbanking/sso.Login*
• https://scrigno.popso.it*
• https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
• https://ibank.barclays.co.uk/olb/x/LoginMember.do
• https://www.halifax-online.co.uk/_mem_bin/*
• https://online*.lloydstsb.co.uk/logon.ibc
• https://home.ybonline.co.uk/ral/loginmgr/*
• https://www.mybank.alliance-leicester.co.uk/login/*
• https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
• https://www.isbank.com.tr/Internet/ControlLoader.aspx*
• https://light.webmoney.ru/default.aspx
• https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
• https://www*.banking.first-direct.com/1/2/*
• https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
• *//money.yandex.ru/index.xml
• *//money.yandex.ru/
• *//mail.yandex.ru/index.xml
• *//mail.yandex.ru/
• https://www.rbsdigital.com/Login.asp*
• https://banking*.anz.com/*
• https://olb2.nationet.com/signon/signon*
• https://www.nwolb.com/Login.asp*
• https://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do
• https://internetbanking.aib.ie/hb1/roi/signon
• https://lot-port.bcs.ru/names.nsf?#ogin*
• *wellsfargo.com*
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
• https://rupay.com/index.php
• https://light.webmoney.ru/default.aspx
• *banquepopulaire.fr/*
• http://*.osmp.ru/
• https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
• https://www.ccm.es/cgi-bin/INclient_6105
• https://www.gruposantander.es/
• https://banking.*.de/cgi/ueberweisung.cgi
• https://internetbanking.gad.de/banking
• https://www.citibank.de/*/jba/mp#/SubmitRecap.do

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• eBay
• HSBC
• e-gold
• Wellsfargo
• PayPal
• US Bank
• TD Canada Trust
• Citizens Bank
• PNC Bank
• Sun Trust
• Fifthy Third Bank
• Citibank
• Bank of America
• Wachovia
• Chase
• Open Bank
• Banesto
• Grupo Santader
• BBVA
• Bancaja Empresas
• Procredit Bank
• Barclays
• Lloyds TSB
• DAB Bank
• NatWest
• Yorkshire Bank
• Clydesdale Bank
• Co-operative Bank
• Halifax
• Banco Popular
• Banco Herrero
• Banco Pastor
• Caja Murcia
• Banco Mediolanum
• Caja Rioja
• Caja Laboral
• Caja Soldirecto
• Clavenet
• Caja Vital
• Caja de Avila
• Caixa Tarragona
• Caixa Sabadell
• Caixa Ontinyent
• Caixa Laietana
• Caja Circulo
• Banif
• Banco Guipuzcoano
• Uni Caja
• SabadellAtlantico
• Caja Madrid
• Caja Badajoz
• Banesto
• El Monte
• Caja Canarias
• Caja Madrid Empresas
• Gruppo Carige
• Banca Intesa
• Qui UBI
• IWBank
• Sec Servizi
• Banca Popolare di Sondrio
• Alliance & Leicester
• Türkiye İş Bankası
• WebMoney
• Nationwide
• First Direct
• Royal Bank of Scotland
• Yandex
• RBS Digital
• Rupay
• Banque Populaire

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}rp.com/stat/gate_in.php