TSPY_ZBOT.GTY
W32/Kryptik.HZ!tr (Fortinet), W32/Zbot.DF.gen!Eldorado (FProt), Trojan-Spy.Win32.Zbot (Ikarus), PWS:Win32/Zbot.gen!AF (Microsoft), Win32/Spy.Zbot.YW trojan (NOD32), Trojan.Zbot!gen27 (Norton), Gen:Variant.Zusy.410 (Bitdefender)
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Spyware
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Se conecta a determinadas URL. Uno de los objetivos para ello puede ser informar remotamente de su instalación a un usuario malicioso. También puede hacerlo para descargar archivos maliciosos en el equipo, lo que aumentaría su riesgo de infección por parte de otras amenazas.
Dettagli tecnici
Instalación
Infiltra y ejecuta los archivos siguientes:
- %Application Data%\{random folder name}\{random file name}.exe
- %User Temp%\TMP{random name}.bat
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Rutina de descarga
Se conecta a las siguientes URL maliciosas:
- {random}.biz
- {random}.com
- {random}.ru
- {random}.ru.local
- {random}.org
- {random}.info
- {random}.net