Author: Jasen Sumalapao   
 

PWS:Win32/Zbot (Microsoft), Trojan-Spy.Win32.Zbot.cooi (Kaspersky), Infostealer.Banker.C (Symantec), PWS-Zbot.gen.mv (NAI), Mal/EncPk-JU (Sophos), Gen:Variant.Kazy.44383 (FSecure), Trojan.Win32.Generic!BT (Sunbelt), TR/Dropper.Gen (Antivir), Gen:Variant.Kazy.44383 (Bitdefender), Trojan.Banker-1295 (Clamav), W32/Zbot.YW!tr.spy (Fortinet), Trojan-PWS.Win32.Zbot (Ikarus), Win32/Spy.Zbot.YW trojan (NOD32), TrojanSpy.Zbot.cooi (VBA32)

 PLATFORM:

Windows 2000, Windows XP, Windows Server 2003

 OVER ALL RISK RATING:
 REPORTED INFECTION:
 Beeinträchtigung der Systemleistung ::
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Spyware

  • Destructiveness:
    No

  • Encrypted:
     

  • In the wild::
    Yes

  OVERVIEW

Este malware modifica la configuración de zona de Internet Explorer.

Sin embargo, debido a errores en su código, falla a la hora de realizar la rutina para la que está diseñado.

  TECHNICAL DETAILS

File size: 113,664 bytes
File type: EXE
INITIAL SAMPLES RECEIVED DATE: 03 de września de 2012

Instalación

Este malware infiltra una copia de sí mismo en las carpetas siguientes con diferentes nombres de archivo:

  • %User Profile%\Application Data\{Random Folder 1}\{Random Filename}.exe

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Este malware infiltra el/los siguiente(s) archivo(s):

  • %User Profile%\Application Data\(Random Folder 2)\{Random Filename and Extension}
  • %User Profile%\Application Data\(Random Folder 3)\{Random Filename and Extension}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Agrega los procesos siguientes:

  • %System%\net.exe
  • %System%\net1.exe

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Crea las carpetas siguientes:

  • %User Profile%\Application Data\{Random Folder 1}
  • %User Profile%\Application Data\{Random Folder 2}
  • %User Profile%\Application Data\{Random Folder 3}

(Nota: %User Profile% es la carpeta de perfil del usuario activo, que en el caso de Windows 98 y ME suele estar en C:\Windows\Profiles\{nombre de usuario}, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario} y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}).

)

Modificación de la página de inicio y de la página de búsqueda del explorador Web

Este malware modifica la configuración de zona de Internet Explorer.

Otros detalles

Sin embargo, debido a errores en su código, falla a la hora de realizar la rutina para la que está diseñado.