TSPY_ZBOT.LOK

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Puntos de infección

Llega en forma de archivo descargado de las siguientes URL:

• http://hfcpda.com/msc.exe

Instalación

Crea las carpetas siguientes:

• %Application Data%\{random1}
• %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{F52EF8F9-665B-F012-63F6-A441A3FA3620} = %Application Data%\{random1}\{random}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random}
{Default} =  

Rutina de infiltración

Infiltra los archivos siguientes:

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.buw

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Robo de información

Accede al siguiente sitio para descargar su archivo de configuración:

• http://hfcpda.com/gb2/misc
• http://bimateko.info/mac
• http://rainfox24.info/tmp
• http://highnet2net.com/googleads
• http://hfcpdaonline.com/googleads

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• AIB
• ANZ
• Abbey National
• Alliance & Leicester
• Bank of America
• Barclays
• Capital One
• Chase
• Citibank
• Citizens
• Clydesdale
• Co-Operativebank
• Commerzbank
• Deutsche Bank
• Dresdner
• E-Gold
• Ebay
• Fiducia
• Fifth Third
• GAD
• HSBC
• Halifax
• ING Direct
• Liberty Reserve
• Lloyds
• MBNA Europe Bank Limited
• Microsoft
• Moneybookers
• National City
• Nationwide
• Natwest
• OSPM
• PNC
• PayPal
• RBS
• Raiffeisen
• Santander
• Smile
• Suntrust
• TD Canada Trust
• US Bank
• Volksbanken Raiffeisenbanken
• Wachovia
• Washington Mutual
• Westpac Banking Corporation
• Yorkshire

Entidades atacadas

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://hfcpda.com/xml/googleads.php

Otros detalles

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash MD5:

• 02cf161a0058cd89d4c967381238ca47

Tiene los siguientes valores hash SHA1:

• ebf55603e9c2a1af7e563a5afaf46da0ee0bb588