TSPY_ZBOT.ACL

Trend Micro has flagged this {malware/spyware type} as noteworthy due to the increased potential for damage, propagation, or both, that it possesses. Specifically, {insert explanation for NW).

To get a one-glance comprehensive view of the behavior of this Spyware, refer to the Threat Diagram shown below.

Crea carpetas donde infiltra sus archivos.

Modifica las entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema.

Registra las pulsaciones de teclas de un usuario para robar información.

Comprueba la presencia de los siguientes procesos relacionados con Outpost Personal Firewall y ZoneLabs Firewall Client. finaliza si detecta la presencia de cualquiera de ellos. El objetivo es garantizar que opere de forma ininterrumpida

Detalles de entrada

Puede haberse descargado desde los sitios remotos siguientes:

• http://{BLOCKED}-klasa.cn/zsadmin/loader.exe

Instalación

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• __SYSTEM__91C38905__

Infiltra los archivos siguientes:

• %System%\wsnpoem\audio.dll
• %System%\wsnpoem\video.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea las siguientes copias de sí mismo en el sistema afectado:

• %System%\NTOS.EXE

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Crea carpetas donde infiltra sus archivos.

Técnica de inicio automático

Modifique las siguientes entradas de registro para garantizar su ejecución automática cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\Userinit.exe,%System%\ntos.exe,

(Note: The default value data of the said registry entry is %System%\Userinit.exe,.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {Computer name}_{Random numbers}

Robo de información

El archivo descargado contiene información sobre dónde puede el malware descargar una copia actualizada de sí mismo y a dónde puede enviar los datos robados.

Accede al siguiente sitio para descargar su archivo de configuración:

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Registra las pulsaciones de teclas de un usuario para robar información.

Información sustraída

La información robada se guarda en los siguientes archivos:

• %System%\wsnpoem\audio.dll

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

Puntos de infiltración

Luego, el archivo citado se envía a la siguiente URL vía HTTP POST:

• http://{BLOCKED}-klasa.cn/zsadmin/snd.php

Otros detalles

Comprueba la presencia de los siguientes procesos relacionados con Outpost Personal Firewall y ZoneLabs Firewall Client:

• outpost.exe
• zlclient.exe

No mostró rutinas de puerta trasera durante la prueba.

Información de variantes

Tiene los siguientes valores hash MD5:

• b9174fd26bc6fe3453c3a00b3ba11a99

Tiene los siguientes valores hash SHA1:

• df104a090649f88dde597521e77ace400390758b