TSPY_ZBOT.POG
W32/Zbot.EQPB!tr (Fortinet), PWS:Win32/Zbot (Microsoft), a variant of Win32/Kryptik.ALRH trojan (NOD32)
Windows 2000, Windows XP, Windows Server 2003
Tipo di minaccia informatica:
Spyware
Distruttivo?:
No
Crittografato?:
In the wild::
Sì
Panoramica e descrizione
Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos.
Dettagli tecnici
Instalación
Infiltra los archivos siguientes:
- %Application Data%\{random letters 1}\{random letters}.exe - copy of itself
- %Application Data%\{random letters 2}\{random letters}.{random letters} - encrypted file
- %Application Data%\Microsoft\Address Book\test.wab~
- %Application Data%\Microsoft\Address Book\test.wab
- %User Temp%\TMP{random}.bat
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
. %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).)Crea las carpetas siguientes:
- %Application Data%\{random letters 1}
- %Application Data%\{random letters 2}
- %Application Data%\{random letters 3}
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random letters} = "%Application Data%\{random letters 1}\{random letters}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
"CleanCookies" = "0"
HKEY_CURRENT_USER\Software\Microsoft\
{random}
{random} =
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4\Wab File Name
(Default) = "%Application Data%\Microsoft\Address Book\test.wab"
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4
"OlkContactRefresh" = "0"
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4
"OlkFolderRefresh" = "0"
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
"ConnectionSettingsMigrated" = "1"
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
"1609" = "0"
(Note: The default value data of the said registry entry is "1".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
"1609" = "0"
(Note: The default value data of the said registry entry is "1".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
"1609" = "0"
(Note: The default value data of the said registry entry is "1".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
"1609" = "0"
(Note: The default value data of the said registry entry is "1".)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
"1609" = "0"
(Note: The default value data of the said registry entry is "1".)
HKEY_CURRENT_USER\Identities
"Identity Ordinal" = "2"
(Note: The default value data of the said registry entry is "1".)
Otros detalles
Este archivo contiene una URL a la que se conecta para intentar descargar otros archivos. En el momento de escribir esta información, este archivo contiene las siguientes direcciones URL:
- {BLOCKED}0.{BLOCKED}9.55.1