TSPY_ZBOT.KOP
PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.cooi (Kaspersky), Infostealer.Banker.C (Symantec), PWS-Zbot.gen.mv (NAI), Mal/EncPk-JU (Sophos), Gen:Variant.Kazy.44383 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), TR/Dropper.Gen (Antivir), Gen:Variant.Kazy.44383 (Bitdefender), Trojan.Banker-1295 (Clamav), W32/Zbot.YW!tr.spy (Fortinet), Trojan-PWS.Win32.Zbot (Ikarus), Win32/Spy.Zbot.YW trojan (NOD32), TrojanSpy.Zbot.cooi (VBA32)
Windows 2000, Windows XP, Windows Server 2003
Tipo de malware
Spyware
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Este malware modifica la configuración de zona de Internet Explorer.
Sin embargo, debido a errores en su código, falla a la hora de realizar la rutina para la que está diseñado.
Detalles técnicos
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %User Profile%\Application Data\{Random Folder 1}\{Random Filename}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Este malware infiltra el/los siguiente(s) archivo(s):
- %User Profile%\Application Data\(Random Folder 2)\{Random Filename and Extension}
- %User Profile%\Application Data\(Random Folder 3)\{Random Filename and Extension}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Agrega los procesos siguientes:
- %System%\net.exe
- %System%\net1.exe
(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).
)Crea las carpetas siguientes:
- %User Profile%\Application Data\{Random Folder 1}
- %User Profile%\Application Data\{Random Folder 2}
- %User Profile%\Application Data\{Random Folder 3}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.
Otros detalles
Sin embargo, debido a errores en su código, falla a la hora de realizar la rutina para la que está diseñado.