Analisado por: Marfel Tiamzon   
 Modificado por: : Sabrina Lei Sioting
 Plataforma:

Windows 2000, XP, Server 2003

 Classificao do risco total:
 infec??o relatada:
 Impacto no sistema: :
 Exposi??o das informa??es:
Baixo
Medium
Alto
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de grayware:
    Spyware

  • Destrutivo:
    N?o

  • Criptografado:
    N?o

  • In the Wild:
    Sim

  Vis?o geral

Versucht, Daten zu entwenden, wie z. B. Benutzernamen und Kennw?rter, die beim Anmelden auf Websites von Banken oder anderen Finanzdienstleistern verwendet werden.

  Detalhes t¨¦cnicos

Tipo de compacta??o: 163,840 bytes
Tipo de arquivo: PE
Residente na mem¨®ria: Sim
Data de recebimento das amostras iniciais: 03 agosto 2010
Carga ¨²til: Steals information

Infektionspunkte

Gelangt auf das System in Form einer Datei, die von den folgenden URLs heruntergeladen wurde:

  • http://{BLOCKED}sia/fil3.exe

Installation

Schleust die folgenden Dateien ein:

  • %Application Data%\{random1}\{random}.exe
  • %Application Data%\{random2}\{random}.leq

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Erstellt die folgenden Ordner:

  • %Application Data%\{random1}
  • %Application Data%\{random2}

(Hinweis: %Application Data% ist der Ordner 'Anwendungsdaten' f¨¹r den aktuellen Benutzer, normalerweise C:\Windows\Profile\{Benutzername}\Anwendungsdaten unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername}\Anwendungsdaten unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Anwendungsdaten unter Windows 2000, XP und Server 2003.)

Autostart-Technik

F¨¹gt folgende Registrierungseintr?ge hinzu, um bei jedem Systemstart automatisch ausgef¨¹hrt zu werden.

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{ABC0FF60-72B8-6FF7-5511-F48AC9CEAFA3} = %Application Data%\{random1}\{random}.exe

Datendiebstahl

Greift auf die folgende Site zu, um die eigene Konfigurationsdatei herunterzuladen:

  • http://{BLOCKED}asia/backup.tgz
  • http://{BLOCKED}u/backup.tgz
  • http://{BLOCKED}u/backup.tgz
  • http://{BLOCKED}asia/backup.tgz

Die heruntergeladene Datei enth?lt Informationen, wo die Malware eine aktualisierte Kopie von sich selbst herunterladen kann und wohin die entwendeten Daten gesendet werden sollen.

Beachten Sie, dass der Inhalt der Datei, d. h. die Liste der zu ¨¹berwachenden Websites, jederzeit ge?ndert werden kann.

Versucht, Daten von den folgenden Banken und/oder anderen Geldinstituten zu entwenden:

  • AXA
  • BBVA
  • Banco Bilbao Vizcaya Argentaria
  • Banco de Sadabell
  • Barclays
  • CCM
  • Caixa Catalunya
  • Caixa Girona
  • Caixa Manlleu
  • Caixa Ontinyent
  • Caixa Tarragona
  • Caja Espa?a
  • Caja Granada
  • Caja Laboral
  • Caja Madrid
  • Caja Mar
  • Caja Rural
  • Caja Stur
  • Caja Sur
  • Caja Vital
  • Caja de Ahorros de la Inmaculada de Arag¨®n
  • Caja de Burgos
  • Cajasol
  • Commerzbank
  • Cr¨¦dito Agr¨ªcola On-Line
  • Deutsche Bank
  • Dresdner
  • Facebook
  • Fibanc Mediolanum
  • Fiducia
  • ForeningsSparbanken
  • Halifax
  • ING Direct
  • IS Bank
  • Lloyds
  • McAfee
  • Microsoft
  • Openbank
  • SEB
  • Sabadell Atlantico
  • Santander

Entwendete Daten

Sendet die gesammelten Daten ¨¹ber HTTP-POST an den folgenden URL:

  • http://{BLOCKED}sia/sdkljhdfdlgklk3434.php

Informationen ¨¹ber Varianten

Verf¨¹gt ¨¹ber folgende MD5-Hash-Werte:

  • bfe7da330f453922dce412659d615abd

Verf¨¹gt ¨¹ber folgende SHA1-Hash-Werte:

  • 0d75fdf93a8b6854786f640faa26f2c6c7ae2052

  Solu??o

Mecanismo de varredura m¨ªnima: 8.900
Data de lan?amento do padr?o VSAPI: 03 agosto 2010
Data de lan?amento do padr?o VSAPI: 8/3/2010 12:00:00 AM
VSAPI OPR Pattern Version: 07.360.01

Step 1

F¨¹r Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.

Step 2

Im abgesicherten Modus neu starten

[ Saber mais ]

Step 3

Diesen Registrierungsschl¨¹ssel l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

  • In HKEY_CURRENT_USER\Software\Microsoft
    • {random}

Step 4

Diesen Registrierungswert l?schen

[ Saber mais ]

Wichtig: Eine nicht ordnungsgem??e Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems f¨¹hren. F¨¹hren Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterst¨¹tzung bitten k?nnen. Lesen Sie ansonsten zuerst diesen , bevor Sie die Registrierung Ihres Computers ?ndern.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {ABC0FF60-72B8-6FF7-5511-F48AC9CEAFA3} = %Application Data%\{random1}\{random}.exe

Step 5

Diese Ordner suchen und l?schen

[ Saber mais ]
Aktivieren Sie unbedingt das Kontrollk?stchen Versteckte Elemente durchsuchen unter Weitere erweiterte Optionen, um alle verborgenen Ordner in den Suchergebnissen zu ber¨¹cksichtigen. %Application Data%\{random1}
%Application Data%\{random2}

Step 6

Durchsuchen Sie Ihren Computer mit Ihrem live casino online Produkt, und l?schen Sie Dateien, die als TSPY_ZBOT.BAW entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem live casino online Produkt ges?ubert, gel?scht oder in Quarant?ne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarant?ne k?nnen einfach gel?scht werden. Auf dieser finden Sie weitere Informationen.


Participe da nossa pesquisa!