TSPY_ZBOT.BX

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Puntos de infección

Llega en forma de archivo descargado de las siguientes URL:

• http://{BLOCKED}lo-sar.com/ost.exe

Instalación

Infiltra los archivos siguientes:

• {malware path}\Setup.dll

Crea copias de sí mismo en la carpeta del sistema de Windows y anexa códigos basura a las copias para dificultar su detección. Las copias utilizan los siguientes nombres de archivo:

• %System\sdra64.exe

A continuación crea el/los siguiente(s) archivo(s) no malicioso(s):

• %System%\lowsec\local.ds - copy of the encrypted downloaded file
• %System%\lowsec\user.ds - used to save the gathered information

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

• %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• _AVIRA_2108

Este malware se inyecta a sí mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

• legitimate WINLOGON.EXE and SVCHOST.EXE

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe; %System\sdra64.exe;

(Note: The default value data of the said registry entry is %System%\userinit.exe;.)

Otras modificaciones del sistema

Este malware también crea la(s) siguiente(s) entrada(s) de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {computer name}_{random numbers}

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://{BLOCKED}lo-sar.com/baki.bin

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

El archivo descargado contiene información sobre dónde puede el malware descargar una copia actualizada de sí mismo y a dónde puede enviar los datos robados.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Tenga en cuenta que la lista puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• Bank of America

Entidades atacadas

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Puntos de infiltración

Luego, el archivo citado se envía a la siguiente URL vía HTTP POST:

• http://{BLOCKED}lo-sar.com/gate.php

Otros detalles

No mostró rutinas de puerta trasera durante la prueba.