TSPY_ZBOT.FAZ

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Detalles de entrada

Llega como archivo adjunto a los mensajes de correo que otro malware/grayware/spyware o usuarios maliciosos envían como spam.

Puede haberse descargado desde los sitios remotos siguientes:

• http://{BLOCKED}kplnnqsqe.org/news/?s={random}

Instalación

Infiltra los archivos siguientes:

• %Application Data%\{random1}\{random}.exe - copy of itself
• %Application Data%\{random2}\{random}.{random} - encrypted file

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Crea las carpetas siguientes:

• %Application Data%\{random1}
• %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

• Global\{GUID}
• Local\{GUID}

Este malware se inyecta en los siguientes procesos que se ejecutan en la memoria:

• ctfmon.exe
• dwm.exe
• explorer.exe
• rdpclip.exe
• taskeng.exe
• taskhost.exe
• wscntfy.exe

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
GUID = "%Application Data%\{random1}\{random}.exe"

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\explorer.exe = "%Windows%\explorer.exe:*:Disabled:Windows Explorer"

Agrega las siguientes claves de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random}

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://{pseudorandom alpha characters}.biz/forum/
• http://{pseudorandom alpha characters}.org/forum/
• http://{pseudorandom alpha characters}.info/forum/
• http://{pseudorandom alpha characters}.net/forum/
• http://{pseudorandom alpha characters}.com/forum/

Robo de información

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• American Express
• BBVA
• Barclays
• Blogcdn
• Chase
• CommBANK
• Commerzbank
• Discover Card
• Elan Financial Services
• FIA Card Services
• Fifth Third
• Gafringwirt
• GoToMyCard
• HSBC
• Macy's
• Market and Target
• Nordstrom Card
• PNC
• Partner Card Services
• Postbank
• Schwab
• Sparda
• StatementLook
• Suntrust
• USAA
• Wells Fargo
• eZCardInfo

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}kplnnqsqe.org/news/?s={random}