TSPY_ZBOT.SZPA

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Puntos de infección

Llega en forma de archivo descargado de las siguientes URL:

• http://{BLOCKED}vanced-cfg2.com/monte-karlo/us.exe

Instalación

Infiltra los archivos siguientes:

• %User Profile%\Application Data\{random1}\{random file name 1}.exe
• %User Profile%\Application Data\{random2}\{random file name 2}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Crea las carpetas siguientes:

• %User Profile%\Application Data\{random1}
• %User Profile%\Application Data\{random2}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

• ctfmon.exe
• dwm.exe
• explorer.exe
• rdpclip.exe
• taskeng.exe
• taskhost.exe
• wscntfy.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random CLSID} = "%User Profile%\Application Data\{random1}\{random file name 1}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random key}

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://{BLOCKED}vanced-cfg3.com/monte-karlo/usdase.db
• http://{BLOCKED}vanced-cfg4.com/monte-karlo/usdase.db
• http://{BLOCKED}vanced-cfg5.com/monte-karlo/usdase.db

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

El archivo descargado contiene información sobre dónde puede el malware descargar una copia actualizada de sí mismo y a dónde puede enviar los datos robados.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Chase
• Wells Fargo
• Bank of America
• Citibank

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}.{BLOCKED}.197.24/~hosting/woops/ttf.php

Otros detalles

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash MD5:

• 1bd1b7192983f78924826e1ff5e8c810

Tiene los siguientes valores hash SHA1:

• b866064cb704701243c08d793b42ca2d0d7a5a0c