TSPY_ZBOT.TSNV

Se inyecta en todos los procesos en ejecución para permanecer en memoria.

Este malware no tiene ninguna rutina de propagación.

Este malware no tiene ninguna rutina de puerta trasera.

Este malware modifica la configuración de zona de Internet Explorer.

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Roba determinada información del sistema y/o del usuario.

Instalación

Crea las siguientes copias de sí mismo en el sistema afectado y las ejecuta:

• %Application Data%\{random folder name1}\{random file name1}.exe

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Este malware infiltra el siguiente archivo no malicioso:

• %Application Data%\{random folder name2}\{random file name2}.{random extension}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\{random folder name1}
• %Application Data%\{random folder name2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Se inyecta en todos los procesos en ejecución para permanecer en memoria.

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Local\{GUID}
• Global\{GUID}

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random} = "%Application Data%\{random folder name1}\{random file name1}.exe"

Otras modificaciones del sistema

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random key}

Propagación

Este malware no tiene ninguna rutina de propagación.

Rutina de puerta trasera

Este malware no tiene ninguna rutina de puerta trasera.

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Rutina de descarga

No obstante, de este modo no se podrá acceder a los sitios mencionados.

Robo de información

Roba la siguiente información:

• Data on cookie files (URLs)
• Email-related information such as account names, email addresses, passwords, server data, and server port
• Email information stored in the user’s Windows Address Book (WAB) file
• Online banking credentials
• Personal digital cerificate

Su archivo de configuración contiene la siguiente información:

• URLs where it downloads an updated copy of itself
• URLs where it sends its gathered information
• URLs of its target online banking and finance-related sites from where it steals the information