TROJ_ZBOT.BAY

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Instalación

Crea las carpetas siguientes:

• %Application Data%\{random1}
• %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{4F7B03F1-D465-7A2F-E893-EA6755CBAD8A} = %Application Data%\{random1}\{random}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random}
{default} =  

Rutina de infiltración

Infiltra los archivos siguientes:

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.yto

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://{BLOCKED}ojaeghaopuegeudeeb.com/xman/spm1.bin
• http://{BLOCKED}ojaeghaopuegeudeeb.com/bin/orahxaxsp1.bin
• http://{BLOCKED}eitaepiephohthieleibesha.com/bin/orahxaxsp1.bin
• http://{BLOCKED}nmbnxcbjbh3hbhbdhjb3l4kjbn.com/bin/orahxasp1.bin
• http://{BLOCKED}nzytgero34xbhsbc8484kk.com/bin/orahxasp1.bin
• http://{BLOCKED}llakjshbeyrv3421jbs88xc.com/bin/orahxasp1.bin

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://teughoojaeghaopuegeudeeb.com/xman/spm1.bin
• http://teughoojaeghaopuegeudeeb.com/bin/orahxaxsp1.bin
• http://eitaepiephohthieleibesha.com/bin/orahxaxsp1.bin
• http://nmbnxcbjbh3hbhbdhjb3l4kjbn.com/bin/orahxasp1.bin
• http://nzytgero34xbhsbc8484kk.com/bin/orahxasp1.bin
• http://llakjshbeyrv3421jbs88xc.com/bin/orahxasp1.bin

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• American Express
• Bank of America
• Caja Laboral
• Chase
• Citibank
• Fifth Third
• HSBC
• Microsoft
• Myspace
• National City
• Net Banking
• OSPM
• Odnoklassniki
• PNC
• PayPal
• Santander
• Suntrust
• US Bank
• Union Bank of California
• Vkontakte
• Wachovia
• Wells Fargo

Entidades atacadas

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}ojaeghaopuegeudeeb.com/xman/gogo.php

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• It arrives as a file downloaded from the following URL: http://{BLOCKED}jaeghaopuegeudeeb.com/xman/spm1.exe

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash MD5:

• ceaa394d6233588d75f321c629c7a071

Tiene los siguientes valores hash SHA1:

• fd273d0b4ab87fe180d6432412b4bd67d1021894