TSPY_ZBOT.AZL

Para obtener una visión integral del comportamiento de este Spyware, consulte el diagrama de amenazas que se muestra a continuación.

Puede haberlo infiltrado otro malware.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Detalles de entrada

Puede haberlo infiltrado otro malware.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\MSPDB30.DLL

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Infiltra los archivos siguientes:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\mspdb80.dll

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Crea las carpetas siguientes:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware se inyecta en los siguientes procesos que se ejecutan en la memoria:

• EXPLORER.EXE
• FIREFOX.EXE
• IEXPLORE.EXE
• MSIMN.EXE
• OUTLOOK.EXE
• SVCHOST.EXE

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
AppInit_DLLs = %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\mspdb30.dll

(Note: The default value data of the said registry entry is  .)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\Parameters.A
(Default) =  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
DirectDraw\Parameters.B
(Default) =  

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
LoadAppInit_DLLs = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Windows
RequireSignedAppInit_DLLs = 0

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %System Root%\Documents and Settings\All Users\Application Data\Microsoft\Windows\Network\mspdb80.dll

(Nota: %System Root% es la carpeta raíz, normalmente C:\. También es la ubicación del sistema operativo).

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• https://{BLOCKED}gatti2012.ru/forum/Q47A1.php

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• Browse and upload files from the affected system
• Download files, save them as temp files in %User Temp% folder then execute these files
• Drop a batch file named NTLDR.BAT. This .BAT file contains a command to delete files found in the Windows folder and in the root folder, which is usually C:\ (may include system files which in turn may cause the system unbootable)
• Log running processes and save it to the dropped file MSPDB80.DLL
• Steal and delete Cookies
• Steal FTP and POP credentials

(Nota: %User Temp% es la carpeta Temp del usuario activo, que en el caso de Windows 2000, XP y Server 2003 suele estar en C:\Documents and Settings\{nombre de usuario}\Local Settings\Temp).