TROJ_ZBOT.BGF

Este malware se puede inyectar en los procesos que se ejecutan en la memoria.

Modifica las entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema.

Modifica los archivos HOSTS del sistema afectado. Esto impide el acceso de los usuarios a determinados sitios Web.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Puntos de infección

Llega en forma de archivo descargado de las siguientes URL:

• http://{BLOCKED}nlit.cn/cqi-bin/ldr(serverinlit.cn).exe

Instalación

Crea copias de sí mismo en la carpeta del sistema de Windows y anexa códigos basura a las copias para dificultar su detección. Las copias utilizan los siguientes nombres de archivo:

• sdra64.exe

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

• %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware se puede inyectar en los procesos que se ejecutan en la memoria.

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• _AVIRA_2109

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\ CurrentVersion\Winlogon
Userinit = "%System%\userinit.exe;%System%\sdra64.exe;"

(Note: The default value data of the said registry entry is %System%\userinit.exe;.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\ CurrentVersion\Network
UID = "{computer name}_{random numbers}"

Modificar el archivo HOSTS

Modifica los archivos HOSTS del sistema afectado para que los usuarios no puedan acceder a los sitios Web siguientes:

• 127.0.0.1 ********d
• 127.0.0.1 a188.x.ak
• 127.0.0.1 acs.panda
• 127.0.0.1 akamai.ne
• 127.0.0.1 anti-viru
• 127.0.0.1 antivirus
• 127.0.0.1 avp.com
• 127.0.0.1 avu.zonel
• 127.0.0.1 diamondcs
• 127.0.0.1 dl1.antiv
• 127.0.0.1 dl2.antiv
• 127.0.0.1 dl3.antiv
• 127.0.0.1 dl4.antiv
• 127.0.0.1 download.
• 127.0.0.1 download1
• 127.0.0.1 download2
• 127.0.0.1 download3
• 127.0.0.1 download4
• 127.0.0.1 download5
• 127.0.0.1 download6
• 127.0.0.1 download7
• 127.0.0.1 downloads
• 127.0.0.1 files.tre
• 127.0.0.1 fr.bitdef
• 127.0.0.1 fr.mcafee
• 127.0.0.1 fractus.m
• 127.0.0.1 free.gris
• 127.0.0.1 ftp.ca.co
• 127.0.0.1 ftp.esafe
• 127.0.0.1 ftp.europ
• 127.0.0.1 ftp.micro
• 127.0.0.1 ftp.nai.c
• 127.0.0.1 ftp.syman
• 127.0.0.1 ftp://dow
• 127.0.0.1 housecall
• 127.0.0.1 ieupdate.
• 127.0.0.1 ieupdate1
• 127.0.0.1 ieupdate2
• 127.0.0.1 ieupdate3
• 127.0.0.1 ieupdate4
• 127.0.0.1 ieupdate5
• 127.0.0.1 ieupdate6
• 127.0.0.1 liveupdat
• 127.0.0.1 mcafee.co
• 127.0.0.1 microsoft
• 127.0.0.1 my-etrust
• 127.0.0.1 niuone.no
• 127.0.0.1 pccreg.an
• 127.0.0.1 radius.tu
• 127.0.0.1 rads.mcaf
• 127.0.0.1 retail.sp
• 127.0.0.1 retail01.
• 127.0.0.1 retail02.
• 127.0.0.1 security.
• 127.0.0.1 securityr
• 127.0.0.1 secuser.c
• 127.0.0.1 secuser.m
• 127.0.0.1 symantec.
• 127.0.0.1 tds.diamo
• 127.0.0.1 update.sy
• 127.0.0.1 updates.a
• 127.0.0.1 upgrade.b
• 127.0.0.1 us.mcafee
• 127.0.0.1 v4.window
• 127.0.0.1 v5.window
• 127.0.0.1 windowsup
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www.{BLOCKED}
• 127.0.0.1 www1.my-e
• 127.0.0.1 www3.ca.c
• 193.125.23.12 updates.sald.

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://{BLOCKED}nlit.cn/cqi-bin/cgi2.bin

Tiene como objetivo los siguientes sitios web:

• *agent.e-port.ru/cp/lkan/lka.cp*
• *altergold.com/login.php*
• *arquia.es*
• *bankofamerica.com*
• *bankofinternet.com*
• *bbvanetcash.com*
• *bcaixanet-empresas.bancocaixageral.es*
• *bsb.by*
• *c-gold.com/account/login.php*
• *ccm.es*
• *cedacri.it*
• *citibank.ru*
• *citibank.ru/signin/UnameSignonCookie.do*
• *client.mdmbank.ru/retailweb/login.asp
• *credem.it*
• *dab-bank.de*
• *e-gold.com/acct/login.asp*
• *easypay.by*
• *firstib.com*
• *halifax-online.co.uk*
• *hsbc.co.uk*
• *ibank.internationalbanking.barclays.com/logon/*
• *internetbank.by*
• *inwestoronline.pl*
• *ipko.pl*
• *isideonline.it*
• *kiwibank.co.nz/banking/login.asp
• *light.webmoney.ru*
• *lloydstsb.co.uk*
• *meine.norisbank.de*
• *mijn.postbank.nl*
• *money.yandex.ru*
• *online-business.lloydstsb.co.uk*
• *online.lloydstsb.co.uk*
• *passport.yandex.ru*
• *paypal.*/cgi-bin/webscr?cmd=_login-done*
• *paypal.com/row/cgi-bin/webscr?cmd=_profile-address*
• *rbkmoney.ru*
• *rupay.com/index.php*
• *sabadellatlantico.com*
• *scibinet.com/bus/security/Welcome.do?action=form&UserRoleID=*
• *scotiaonline.scotiabank.com/online/start.jsp*
• *secure.inteligo.com.pl/web*
• *service.fuib.com*
• *usaa.com/*
• *www.tb.by*
• http://*.osmp.ru/
• http://*citibank.ru*
• http://www.{BLOCKED}arragona.es/esp/sec_20/codigos.html
• https://*cajamar.es/BE/extern/htm/login.html*
• https://*westpac.com.au/wtwt/startpage*
• https://areasegura.banif.es/bog/bogbsn*
• https://banca.cajaen.es/ISMC/Jaen/C@JAENdirecto.jsp
• https://bancaonline.openbank.es/servlet/PProxy?*
• https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.aspx
• https://banesnet.banesto.es/*/loginEmpresas.htm
• https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
• https://hb.quiubi.it/newSSO/x11logon.htm
• https://home.cbonline.co.uk/login.html*
• https://home.ybonline.co.uk/login.html*
• https://home.ybonline.co.uk/ral/loginmgr/*
• https://ibanking.banksa.com.au/InternetBanking/viewAccountPortfolio.do*
• https://ibanking.stgeorge.com.au/InternetBanking/viewAccountPortfolio.do*
• https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
• https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
• https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
• https://olb2.nationet.com/signon/signon*
• https://online-offshore.lloydstsb.com/customer.ibc
• https://online.lloydstsb.co.uk/logon.ibc
• https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
• https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
• https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
• https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
• https://passport.yandex.ru/passport?mode=remember
• https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
• https://probanking.procreditbank.bg/main/main.asp*
• https://resources.chase.com/MyAccounts.aspx
• https://scrigno.popso.it*
• https://ssl.easypay.by/cgi-bin/client.cgi
• https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
• https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
• https://web.secservizi.it/siteminderagent/forms/login.fcc
• https://www#.citizensbankonline.com/*/index-wait.jsp
• https://www#.usbank.com/internetBanking/LoginRouter
• https://www*.banking.first-direct.com/1/2/*
• https://www.53.com/servlet/efsonline/index.html*
• https://www.arquia.es/bancadis/Login47638.asp
• https://www.arquia.es/bancadis/registro.asp
• https://www.bancoherrero.com/cs/*
• https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
• https://www.bgnetplus.com/niloinet/login.jsp
• https://www.caixagirona.es/cgi-bin/INclient_2030*
• https://www.caixalaietana.es*
• https://www.caixaontinyent.es/cgi-bin/INclient_2045
• https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
• https://www.cajabadajoz.es/cgi-bin/INclient_6010*
• https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
• https://www.cajalaboral.com/home/acceso.asp
• https://www.cajasoldirecto.es/2106/*
• https://www.cajavital.es/Appserver/vitalnet*
• https://www.citibank.de*
• https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
• https://www.gbw2.it/cbl/jspPages/form_login_AV.jsp*
• https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
• https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
• https://www.halifax-online.co.uk/_mem_bin/*
• https://www.in-biz.it*
• https://www.mybank.alliance-leicester.co.uk/login/*
• https://www.paypal.com/*/webscr?cmd=_account
• https://www.paypal.com/*/webscr?cmd=_login-done*
• https://www.rbsdigital.com/Login.asp*
• https://www.suntrust.com/portal/server.pt*parentname=Login*
• https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
• https://www.us.hsbc.com/*
• https://www2.bancopopular.es/AppBPE/servlet/servin*
• https://www3.netbank.commbank.com.au/netbank/bankmain*

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Alliance & Leicester
• BBVA
• BG Net Plus
• Banca Intesa
• Banco Herrero
• Banco Popular
• Banesto
• Banif
• Bank of America
• Barclays
• CCM
• Caixa Girona
• Caixa Laietana
• Caixa Ontinyent
• Caixa Tarragona
• Caja Badajoz
• Caja Circulo
• Caja Laboral
• Caja Madrid
• Caja Vital
• Caja de Jaen
• Cajasol
• Chase
• Citibank
• Citizens
• Clydesdale
• DAB
• E-Gold
• E-Port
• Fifth Third
• First Direct
• Gruppo Carige
• HSBC
• Halifax
• IS Bank
• Iside
• Lloyds
• National City
• Nationwide
• OSPM
• Openbank
• PayPal
• PosteItaliane
• Procredit
• Qui UBI
• RBS
• Raiffeisen
• Rupay
• Sabadell Atlantico
• Scrigno
• Secservizi
• Suntrust
• TD Canada Trust
• US Bank
• USAA
• Uno-E
• Wachovia
• Washington Mutual
• Webmoney Keeper Light
• Yandex
• Yorkshire

Información sustraída

La información robada se guarda en los siguientes archivos:

• %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Puntos de infiltración

Luego, el archivo citado se envía a la siguiente URL vía HTTP POST:

• http://{BLOCKED}nlit.cn/cqi-bin/scripts.php

Otros detalles

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash SHA1:

• 41b95a336ac8467e1a60986682d092b1495e34d8

Tiene los siguientes valores hash MD5:

• 08658cea8fef04a36267b82c2afbc92d