TSPY_ZBOT.KNK
Trojan-Spy.Win32.Zbot.eqph (Kaspersky), Troj/Zbot-CMA (Sophos), Gen:Variant.Zusy.17004 (Fsecure), Trojan.Win32.Generic!BT (Sunbelt), Gen:Variant.Zusy.17004 (Bitdefender), Trojan-Spy.Win32.Zbot (Ikarus), Win32/Spy.Zbot.YW trojan (NOD32), TrojanSpy.Zbot.eqph (VBA32)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
Este malware modifica la configuración de zona de Internet Explorer.
No obstante, de este modo no se podrá acceder a los sitios mencionados.
TECHNICAL DETAILS
Instalación
Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:
- %User Profile%\Application Data\{Random Folder 1}\{Random Filename}.exe
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Este malware infiltra el siguiente archivo no malicioso:
- %User Profile%\Application Data\{Random Folder 2}\{Random Filename and Extension}
- %User Profile%\Application Data\{Random Folder 3}\{Random Filename and Extension}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Crea las carpetas siguientes:
- %User Profile%\Application Data\{Random Folder 1}
- %User Profile%\Application Data\{Random Folder 2}
- %User Profile%\Application Data\{Random Folder 3}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{random characters} = %User Profile%\Application Data\{Random Folder 1}\{Random Filename}.exe
Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = %Windows%\explorer.exe:*:Enabled:Windows Explorer
Modificación de la página de inicio y de la página de búsqueda del explorador Web
Este malware modifica la configuración de zona de Internet Explorer.
Rutina de descarga
No obstante, de este modo no se podrá acceder a los sitios mencionados.