Analizzato da: Jasen Sumalapao   
 

PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.cooi (Kaspersky), Infostealer.Banker.C (Symantec), PWS-Zbot.gen.mv (NAI), Mal/EncPk-JU (Sophos), Gen:Variant.Kazy.44383 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), TR/Dropper.Gen (Antivir), Gen:Variant.Kazy.44383 (Bitdefender), Trojan.Banker-1295 (Clamav), W32/Zbot.YW!tr.spy (Fortinet), Trojan-PWS.Win32.Zbot (Ikarus), Win32/Spy.Zbot.YW trojan (NOD32), TrojanSpy.Zbot.cooi (VBA32)

 Piattaforma:

Windows 2000, Windows XP, Windows Server 2003

 Valutazione del rischio complessivo:
 Reported Infection:
 Sistema di Impatto: :
 Informazioni esposizione: :
Basso
Medio
Alto
Critico

  • Tipo di minaccia informatica:
    Spyware

  • Distruttivo?:
    No

  • Crittografato?:
     

  • In the wild::

  Panoramica e descrizione

Este malware modifica la configuración de zona de Internet Explorer.

Sin embargo, debido a errores en su código, falla a la hora de realizar la rutina para la que está diseñado.

  Dettagli tecnici

Dimensione file: 113,664 bytes
Tipo di file: EXE
Data di ricezione campioni iniziali: 03 settembre 2012

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

  • %User Profile%\Application Data\{Random Folder 1}\{Random Filename}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • %User Profile%\Application Data\(Random Folder 2)\{Random Filename and Extension}
  • %User Profile%\Application Data\(Random Folder 3)\{Random Filename and Extension}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Agrega los procesos siguientes:

  • %System%\net.exe
  • %System%\net1.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las carpetas siguientes:

  • %User Profile%\Application Data\{Random Folder 1}
  • %User Profile%\Application Data\{Random Folder 2}
  • %User Profile%\Application Data\{Random Folder 3}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Sin embargo, debido a errores en su código, falla a la hora de realizar la rutina para la que está diseñado.