TSPY_ZBOT.YZR
Trojan.Spy.Zeus.C (B)(Emsisoft);TrojWare.Win32.Spy.Zbot.ABW(Comodo);Trojan.Spy.Zeus.C(BitDefender)
Windows
Tipo de malware
Spyware
Destructivo?
No
Cifrado
In the Wild:
Sí
Resumen y descripción
Detalles técnicos
Instalación
Infiltra los archivos siguientes:
- %Application Data%\{random folder name3}\{random file name3}.{random extension}
- %Application Data%\Microsoft\Address Book\{Username}.wab
- %Application Data%\Microsoft\Address Book\{Username}.wab~
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Crea las siguientes copias de sí mismo en el sistema afectado:
- %Application Data%\{random folder name1}\{random file name1}.exe
- %Application Data%\{random name2}\{random name2}.exe
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random name2} = ""%Application Data%\{random name2}\{random name2}.exe""
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random key} = ""%Application Data%\{random folder name1}\{random file name1}.exe""
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Active Directory GC
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\Bigfoot
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\VeriSign
HKEY_CURRENT_USER\Software\Microsoft\
Internet Account Manager\Accounts\WhoWhere
HKEY_CURRENT_USER\Software\Microsoft\
WAB\WAB4
Agrega las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
{random key}
{random value} = {data}
HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\Privacy
CleanCookies = 0
Modifica las siguientes entradas de registro:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\0
1609 = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1406 = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\1
1609 = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\2
1609 = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1406 = 0
(Note: The default value data of the said registry entry is 3.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\3
1609 = 0
(Note: The default value data of the said registry entry is 1.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1406 = 0
(Note: The default value data of the said registry entry is 3.)
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\
Zones\4
1609 = 0
(Note: The default value data of the said registry entry is 1.)