TSPY_ZBOT.IMZ
PWS:Win32/Zbot.gen!Y(Microsoft), PWS-Zbot.gen.ds (Mcafee), Trojan-Spy.Win32.Zbot.bopd (Kaspersky)
Windows 2000, Windows XP, Windows Server 2003
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
In the wild::
Yes
OVERVIEW
TECHNICAL DETAILS
Instalación
Infiltra los archivos siguientes:
- %User Profile%\Application Data\{random letters 1}\{random letters}.exe - copy of itself
- %User Profile%\Application Data\{random letters 2}\{random letters}.{random letters} - encrypted file
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Crea las carpetas siguientes:
- %User Profile%\Application Data\{random letters 1}
- %User Profile%\Application Data\{random letters 2}
(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).
)Técnica de inicio automático
Crea las siguientes entradas de registro para activar la ejecución automática del componente infiltrado cada vez que arranque el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = "%User Profile%\Application Data\{random letters 1}\{random letters}.exe"
Otras modificaciones del sistema
Agrega las siguientes entradas de registro como parte de la rutina de instalación:
HKEY_CURRENT_USER\Software\Microsoft\
{random letters}
Robo de información
Accede al siguiente sitio para descargar su archivo de configuración:
- http://{BLOCKED}.{BLOCKED}9.232.7/memor/conf.bin