Modificado por : Marfel Tiamzon
 Plataforma:

Windows 2000, XP, Server 2003

 Riesgo general:
 Infecci¨®n divulgada:
 Impacto en el sistema :
 Revelaci¨®n de la informaci¨®n:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Spyware

  • Destructivo?
    No

  • Cifrado
    No

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesi¨®n. Intenta robar la informaci¨®n que se utiliza para iniciar sesi¨®n en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contrase?as).

  Detalles t¨¦cnicos

Tama?o del archivo 32,096 bytes
Tipo de archivo PE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 17 Aug 2010
Carga ¨²til Downloads files

Puntos de infecci¨®n

Llega en forma de archivo descargado de las siguientes URL:

  • http://{BLOCKED}storage.com/user1/nps329/bot.exe

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %Application Data%\{random1}\{random}.exe
  • %Application Data%\{random2}\{random}.odo

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las carpetas siguientes:

  • %Application Data%\{random1}
  • %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{BAE22A8B-9135-CC74-806A-A767CAEBF349} = %Application Data%\{random1}\{random}.exe

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft\
{random}

Robo de informaci¨®n

Cuando los usuarios acceden a cualquiera de los sitios controlados, activa inicios de sesi¨®n.

Tiene como objetivo los siguientes sitios web:

  • http://*myspace.com*
  • *.microsoft.com/*
  • http://*
  • http://www.hsbc.co.uk/1/2*
  • https://*bankofscotlandhalifax-online.co.uk*
  • https://*halifax-online.co.uk*
  • https://*ibank.barclays.co.uk*
  • https://psx1online.com/ft/pam/bsdfghee.js
  • https://psx1online.com/ft/pam/dfrets35g.js
  • https://psx1online.com/ft/pam/fftysdhsd.js
  • https://psx1online.com/ft/pam/gkdshgdf.js
  • https://psx1online.com/ft/pam/y.php?ct=
  • https://psx1online.com/ft/pam/y.php?f=1&ct=
  • https://psx1online.com/ft/pam/y.php?f=4&ct=
  • https://psx1online.com/ft/pam/y.php?f=5&ct=
  • https://www.hsbc.co.uk/1/2*

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar informaci¨®n de los siguientes bancos y/u otros organismos financieros:

  • Barclays
  • HSBC
  • Halifax
  • Microsoft
  • Myspace

Informaci¨®n sustra¨ªda

Este malware env¨ªa la informaci¨®n recopilada a la siguiente URL a trav¨¦s de HTTP POST:

  • http://{BLOCKED}tstorage.com/user1/nps329/gate329.php

Informaci¨®n de variantes

Tiene los siguientes valores hash MD5:

  • 8271acdbfbc0930989c7a7350746af57

Tiene los siguientes valores hash SHA1:

  • 24efe829a80015f5b5dc0ec19429cb68766f45a1

  Soluciones

Motor de exploraci¨®n m¨ªnimo 8.900
Versi¨®n de patrones OPR de VSAPI 7.392.1
Fecha de publicaci¨®n de patrones OPR de VSAPI 18 de agosto de 2010

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {BAE22A8B-9135-CC74-806A-A767CAEBF349}=%Application Data%\{random1}\{random}.exe
DATA_TEXTBOX
  • Cierre el Editor del Registro.

    • Step 3

    Eliminar esta clave del Registro

    [ aprenda m¨¢s ]

    Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

    • In HKEY_CURRENT_USER\Software\Microsoft\
      • {random}

    Step 4

    Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TSPY_ZBOT.CAW En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


    Rellene nuestra encuesta!