TROJ_ZBOT.BYW

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Puntos de infección

Llega en forma de archivo descargado de las siguientes URL:

• http://creamwithsodahan.com/xman/xman_newhost.exe

Instalación

Crea copias de sí mismo en la carpeta del sistema de Windows y anexa códigos basura a las copias para dificultar su detección. Las copias utilizan los siguientes nombres de archivo:

• sdra64.exe

Este malware infiltra los siguientes archivos no maliciosos:

• %System%\lowsec\local.ds
• %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

• %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• _AVIRA_2109

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

Robo de información

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

El archivo descargado contiene información sobre dónde puede el malware descargar una copia actualizada de sí mismo y a dónde puede enviar los datos robados.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• American Express
• Bank of America
• Caja Laboral
• Chase
• Citibank
• Comerica
• Commerce Bank
• European Central Bank
• FIA Card Service
• Fifth Third
• First Citizens Bank
• First Tennessee
• Frost Bank
• Gohjie
• HSBC
• Huntington Business Online
• Hypercom
• JP Morgan
• Macy's
• Members United
• Microsoft
• Myspace
• National City
• NetTeller
• Northern Trust
• OSPM
• Odnoklassniki
• PNC
• PayPal
• Santander
• Search ResultsiBanking Services
• Suntrust
• TD Bank
• US Bank
• Union Bank of California
• Vkontakte
• Wachovia
• Wells Fargo

Información sustraída

Este malware guarda la información robada en el archivo siguiente:

• %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://creamwithsodahan.com/xman/gogo.php

Otros detalles

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash MD5:

• 3cd5014e8e3be362241ba217edbdbaa7

Tiene los siguientes valores hash SHA1:

• 2e9558e91dafa57f761859d73f172fa8a84ccb21