TSPY_ZBOT.BSN

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Detalles de entrada

Puede haberse descargado desde los sitios remotos siguientes:

• http://{BLOCKED}zbilnyak.cn/ittit/it.exe

Instalación

Agrega las carpetas siguientes:

• %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\sdra64.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• __SYSTEM__64AD0625__

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

• SVCHOST.EXE
• WINLOGON.EXE

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(Note: The default value data of the said registry entry is %System%\userinit.exe, .)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

Rutina de infiltración

Infiltra los archivos siguientes:

• %System%\lowsec\local.ds
• %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://{BLOCKED}zbilnyak.cn/ittit/doc.bin

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Alfabank
• Allianz Bank
• Banca Euromobiliare
• Banca Generali
• Banca Intesa
• Banca Mediolanum
• Banca Toscana
• Banca in Casa
• CSE
• Cariparma
• Cariprato
• Cedacri
• Cim Italia
• Citibank
• Clarisbanca
• Credem
• Creval
• Facebook
• Fideuram
• Fineco
• Friuladria
• GAD
• Gruppo Carige
• HSBC
• IW Bank
• Iside
• McAfee
• Microsoft
• PosteItaliane
• Qui UBI
• SEB
• Sanpaoloimi
• Scrigno
• Secservizi
• Unipol Banca

Información sustraída

La información robada se guarda en los siguientes archivos:

• %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}zbilnyak.cn/ittit/tutuliti.php

Información de variantes

Tiene los siguientes valores hash MD5:

• 9923e2c8b4615e34a551c493105f2b6b

Tiene los siguientes valores hash SHA1:

• 97d8a8d1e971dcbcbe8fabe7bce4cff51633a38c