TSPY_ZBOT.EZQE

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennwörter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden. Entwendet CD-Schlüssel, Seriennummern und/oder die Produktkennung bestimmter Software. Cyber-Kriminelle können aus diesen Daten Profit schlagen.

Infektionspunkte

Gelangt auf das System in Form einer Datei, die von den folgenden URLs heruntergeladen wurde:

• http://{BLOCKED}uadg.com/eso/isp.exe

Installation

Fügt die folgenden Ordner hinzu:

• %Application Data%\{random1}
• %Application Data%\{random2}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Fügt sich in die folgenden Prozesse ein, die im Speicher des betroffenen Systems ausgeführt werden:

• explorer.exe
• taskhost.exe
• taskeng.exe
• Dwm.exe
• wscntfy.exe
• ctfmon.exe
• rdpclip.exe

Autostart-Technik

Fügt folgende Registrierungseinträge hinzu, um bei jedem Systemstart automatisch ausgeführt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID of mount point of %Windows%} = %Application Data%\{random1}\{random}.exe

Schleust die folgenden Dateien ein:

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random} - contains encrypted stolen data

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' für den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Andere Systemänderungen

Fügt die folgenden Registrierungsschlüssel hinzu:

HKEY_CURRENT_USER\Software\Microsoft
{random} =

Fügt die folgenden Registrierungseinträge hinzu:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
Enabled = 0

HKEY_CURRENT_USER\Software\Microsoft\
InternetExplorer\PhishingFilter
EnabledV8 = 0

Erstellt den oder die folgenden Registrierungseinträge, um die Windows Firewall zu umgehen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\\EXPLORER.EXE = %WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer

Datendiebstahl

Überwacht auf dem betroffenen System die Aktivitäten von Internet Explorer (IE), insbesondere die Adressleiste. Erstellt eine rechtmäßige Website mit einer gefälschten Anmeldeseite, wenn ein Benutzer Banking-Websites mit den folgenden Zeichenfolgen in der Adressleiste und/oder Titelleiste besucht:

• *barclays.es*
• *caixacatalunya.com/*/Home/*,,00.html
• *caixacatalunya.com/*/benvinguda*
• *caixacatalunya.com/*/bienvenida*
• *caixapenedes.com*
• *cajalaboral.com*acceso_es.js
• *cajalaboral.com*home.aspx
• *cam.es*form_camdirecto.js
• *cam.es*inicio.aspx
• *iurisbank.com/isum/Main?ISUM_SCR=login*
• *iurisbank.com/js/checkUsuPass.js
• *iurisbank.com/js/interface.js
• *ruralvia.com/isum/Main?ISUM_SCR=login*
• *ruralvia.com/js/checkUsuPass.js
• *ruralvia.com/js/interface.js
• http*empresas.gruposantander.es*login.js
• http*empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.CompressJSP?JSP=nueva_imagen/inicio.jsp*
• http*inversis.com*
• http*inversis.com*/js/inversiones/common.js
• https://login.facebook.com/*

Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:

• http://{BLOCKED}lans.ru/eso/esa.sp
• http://{BLOCKED}ksfg.ru/eso/esa.sp
• http://{BLOCKED}seao.com/eso/esa.sp

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

• Barclays
• Caja Laboral
• IS Bank
• Santander

Entwendet CD-Schlüssel, Seriennummern und/oder die Produktkennung bestimmter Software.

Einschleusungspunkte

Die besagte Datei wird anschließend über den folgenden URL über HTTP POST gesendet:

• http://{BLOCKED}otor.ru/esp/gujoh.php
• http://{BLOCKED}otor.ru/esp/gujoh.php

Andere Details

Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:

• This malware is also capable of stealing information such as Personal Certificates(MY), Flashplayer data, and Internet session cookies. It also steals FTP credentials for the following FTP applications: flashxp, ghisler, ipswitch, filezilla, ftpfar, winscp, ftpcommander, coreftp, and smartftp.

Informationen über Varianten

Verfügt über folgende MD5-Hash-Werte:

• f3a49e29fdef2471816220aa373be16b

Verfügt über folgende SHA1-Hash-Werte:

• 7c74039292fd16346136c1c5fced563465cef702