TROJ_ZBOT.BXG

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión. Intenta robar la información que se utiliza para iniciar sesión en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contraseñas).

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Instalación

Crea las carpetas siguientes:

• %Application Data%\{random1}
• %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Técnica de inicio automático

Agrega las siguientes entradas de registro para permitir su ejecución automática cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{55A90ADE-6D58-DC64-808C-16DCA467A3DA} = %Application Data%\{random1}\{random}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalación:

HKEY_CURRENT_USER\Software\Microsoft\
{random}
{default} =  

Rutina de infiltración

Infiltra los archivos siguientes:

• %Application Data%\{random1}\{random}.exe
• %Application Data%\{random2}\{random}.adn

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

Rutina de descarga

Accede a los siguientes sitios Web para descargar archivos:

• http://{BLOCKED}ani.ru/president/gnom.php

Robo de información

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesión.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar información de los siguientes bancos y/u otros organismos financieros:

• ANZ
• Alliance & Leicester
• BBVA
• Banco Bilbao Vizcaya Argentaria
• Banco Pastor
• Banco de Sadabell
• Bankinter
• Barclays
• CCM
• Caixa Catalunya
• Caixa Girona
• Caixa Manlleu
• Caja Espana
• Caja Granada
• Caja Laboral
• Caja Mar
• Caja Murcia
• Caja Rural
• Caja Segovia
• Caja Stur
• Caja Sur
• Caja de Burgos
• Cajasol
• Capital One
• Citibank
• Clydesdale
• Co-Operativebank
• Commerzbank
• Commerzbank
• Deutsche Bank
• Dresdner
• Fiducia
• First Direct
• GAD
• HSBC
• Halifax
• ING Direct
• IS Bank
• Lloyds
• MBNA Europe Bank Limited
• Microsoft
• Myspace
• Nationwide
• Natwest
• OSPM
• Odnoklassniki
• RBS
• Raiffeisen
• Sabadell Atlantico
• Santander
• Smile
• Unicaja
• Uno-E
• Vkontakte
• Yorkshire

Entidades atacadas

Este malware intenta obtener información de una lista de bancos u organismos financieros.

Información sustraída

Este malware envía la información recopilada a la siguiente URL a través de HTTP POST:

• http://{BLOCKED}ani.ru/president/gnom.php

Otros detalles

Según el análisis de los códigos, tiene las siguientes capacidades:

• It arrives as a file downloaded from the following URL: http://{BLOCKED}ani.ru/president/reverse.exe

Información de variantes

Tiene los siguientes valores hash MD5:

• 384a00f2a8544a6f98a1e843ad82598b

Tiene los siguientes valores hash SHA1:

• ab83f19b251aa04c46421625888af7ba40f9a13f