An¨¢lisis realizado por : Roland Marco Dela Paz   
 Plataforma:

Windows 2000, XP, Server 2003

 Riesgo general:
 Infecci¨®n divulgada:
 Impacto en el sistema :
 Revelaci¨®n de la informaci¨®n:
Bajo
Medio
High
°ä°ù¨ª³Ù¾±³¦´Ç

  • Tipo de malware
    Spyware

  • Destructivo?
    No

  • Cifrado
    ³§¨ª

  • In the Wild:
    ³§¨ª

  Resumen y descripci¨®n

Intenta robar la informaci¨®n que se utiliza para iniciar sesi¨®n en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contrase?as).

  Detalles t¨¦cnicos

Tama?o del archivo 122,880 bytes
Tipo de archivo EXE
Residente en memoria ³§¨ª
Fecha de recepci¨®n de las muestras iniciales 22 Sep 2010
Carga ¨²til Downloads files, Bypasses Windows Firewall

Detalles de entrada

Puede haberse descargado desde los sitios remotos siguientes:

  • http://nfruhskhfts.com/bs/sas.exe

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Agrega las carpetas siguientes:

  • %Application Data%\{random1}
  • %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:

  • explorer.exe
  • taskhost.exe
  • taskeng.exe
  • Dwm.exe
  • wscntfy.exe
  • ctfmon.exe
  • rdpclip.exe

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID of mount point of %Windows%} = %Application Data%\{random1}\{random}.exe

Infiltra los archivos siguientes:

  • %Application Data%\{random1}\{random}.exe - copy of itself
  • %Application Data%\{random2}\{random} - contains encrypted stolen data

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro como parte de la rutina de instalaci¨®n:

HKEY_CURRENT_USER\Software\Microsoft
{random} =

Agrega las siguientes entradas de registro:

HKEY_CURRENT_USER\Software\Microsoft\
Internet Explorer\PhishingFilter
Enabled = 0

HKEY_CURRENT_USER\Software\Microsoft\
InternetExplorer\PhishingFilter
EnabledV8 = 0

Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%WINDOWS%\\EXPLORER.EXE = %WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer

Robo de informaci¨®n

Controla la actividad de Internet Explorer (IE) del sistema afectado, en particular la barra de direcciones. Recrea un sitio Web leg¨ªtimo con una p¨¢gina de inicio de sesi¨®n falsa cuando un usuario visita sitios de banca con las siguientes cadenas en la barra de direcciones y/o barra de t¨ªtulo:

  • https://banking.*.de/cgi/*
  • https://banking.*.de/portal/portal/*
  • https://banking.dkb.de/dkb/-*
  • https://banking.postbank.de/app/finanzstatus*
  • https://banking.postbank.de/app/finanzstatus.init.do*
  • https://banking.postbank.de/app/static/js/script.js
  • https://banking.postbank.de/app/tan.historie.*.do*?viewmode=ta*
  • https://banking.postbank.de/app/ueberweisung*
  • https://banking.postbank.de/app/verwaltung.init.do*
  • https://banking.postbank.de/app/wel*
  • https://kunde.comdirect.de/ccf/deprecated/cdb/js/jsstatic.js
  • https://kunde.comdirect.de/lp/wt/login*
  • https://kunde.comdirect.de/tx/brokerage/common/*
  • https://meine.deutsche-bank.de/trxm/db/*DisplayFinancialOverview*
  • https://meine.deutsche-bank.de/trxm/db/*ManageTAN*
  • https://www.commerzbanking.de/P-Portal1/XML/*
  • https://www.commerzbanking.de/P-Portal1/XML/ifilportal/js_bb/util.js
  • https://www.dab-bank.de*
  • https://www.targobank.de/*/banque/situation_financiere.cgi
  • https://www.targobank.de/*/online-banking/login.cgi

Accede al siguiente sitio para descargar su archivo de configuraci¨®n:

  • http://{BLOCKED}khfts.com/bs/lusa.bin

Intenta robar informaci¨®n de los siguientes bancos y/u otros organismos financieros:

  • ANZ
  • Comdirect
  • DAB

Puntos de infiltraci¨®n

La informaci¨®n robada se carga en los sitios Web siguientes:

  • http://{BLOCKED}skhfts.com/bs/lvv.php

Otros detalles

Seg¨²n el an¨¢lisis de los c¨®digos, tiene las siguientes capacidades:

  • This malware is also capable of stealing information such as Personal Certificates(MY), Flashplayer data, and Internet session cookies. It also steals FTP credentials for the following FTP applications: flashxp, ghisler, ipswitch, filezilla, ftpfar, winscp, ftpcommander, coreftp, and smartftp.

Informaci¨®n de variantes

Tiene los siguientes valores hash MD5:

  • 17fc2ab1c102ba1b6518dafe6614a9e3

Tiene los siguientes valores hash SHA1:

  • 9499057a08710dc6b24f659fde88a06bb3ab0fb6

  Soluciones

Motor de exploraci¨®n m¨ªnimo 8.900

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Reiniciar en modo seguro

[ aprenda m¨¢s ]

Step 3

Eliminar este valor del Registro

[ aprenda m¨¢s ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
    • Enabled=0
  • In HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\PhishingFilter
    • EnabledV8 =0
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    • %WINDOWS%\EXPLORER.EXE =%WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {GUID of mount point of %Windows%} =%Application Data%
DATA_TEXTBOX
  • Cierre el Editor del Registro.

    • Step 4

    Eliminar esta clave del Registro

    [ aprenda m¨¢s ]

    Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

    • In HKEY_CURRENT_USER\Software\\Microsoft\
      • {random}

    Step 5

    Buscar y eliminar esta carpeta

    [ aprenda m¨¢s ]
    Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas. %Application Data%\{random1}
    %Application Data%\{random2}

    Step 6

    Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TSPY_ZBOT.EZQD En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


    Rellene nuestra encuesta!