Author: Marfel Tiamzon   
 Modified By:: Sabrina Lei Sioting
 PLATFORM:

Windows 2000, XP, Server 2003

 OVER ALL RISK RATING:
 REPORTED INFECTION:
 Beeintr?chtigung der Systemleistung ::
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Spyware

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Intenta robar la informaci¨®n que se utiliza para iniciar sesi¨®n en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contrase?as).

  TECHNICAL DETAILS

File size: 163,840 bytes
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 03 sierpnia 2010
PAYLOAD: Steals information

Puntos de infecci¨®n

Llega en forma de archivo descargado de las siguientes URL:

  • http://{BLOCKED}sia/fil3.exe

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Infiltra los archivos siguientes:

  • %Application Data%\{random1}\{random}.exe
  • %Application Data%\{random2}\{random}.leq

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

Crea las carpetas siguientes:

  • %Application Data%\{random1}
  • %Application Data%\{random2}

(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).

)

T¨¦cnica de inicio autom¨¢tico

Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{ABC0FF60-72B8-6FF7-5511-F48AC9CEAFA3} = %Application Data%\{random1}\{random}.exe

Robo de informaci¨®n

Accede al siguiente sitio para descargar su archivo de configuraci¨®n:

  • http://{BLOCKED}asia/backup.tgz
  • http://{BLOCKED}u/backup.tgz
  • http://{BLOCKED}u/backup.tgz
  • http://{BLOCKED}asia/backup.tgz

El archivo descargado contiene informaci¨®n sobre d¨®nde puede el malware descargar una copia actualizada de s¨ª mismo y a d¨®nde puede enviar los datos robados.

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar informaci¨®n de los siguientes bancos y/u otros organismos financieros:

  • AXA
  • BBVA
  • Banco Bilbao Vizcaya Argentaria
  • Banco de Sadabell
  • Barclays
  • CCM
  • Caixa Catalunya
  • Caixa Girona
  • Caixa Manlleu
  • Caixa Ontinyent
  • Caixa Tarragona
  • Caja Espa?a
  • Caja Granada
  • Caja Laboral
  • Caja Madrid
  • Caja Mar
  • Caja Rural
  • Caja Stur
  • Caja Sur
  • Caja Vital
  • Caja de Ahorros de la Inmaculada de Arag¨®n
  • Caja de Burgos
  • Cajasol
  • Commerzbank
  • Cr¨¦dito Agr¨ªcola On-Line
  • Deutsche Bank
  • Dresdner
  • Facebook
  • Fibanc Mediolanum
  • Fiducia
  • ForeningsSparbanken
  • Halifax
  • ING Direct
  • IS Bank
  • Lloyds
  • McAfee
  • Microsoft
  • Openbank
  • SEB
  • Sabadell Atlantico
  • Santander

Informaci¨®n sustra¨ªda

Este malware env¨ªa la informaci¨®n recopilada a la siguiente URL a trav¨¦s de HTTP POST:

  • http://{BLOCKED}sia/sdkljhdfdlgklk3434.php

Informaci¨®n de variantes

Tiene los siguientes valores hash MD5:

  • bfe7da330f453922dce412659d615abd

Tiene los siguientes valores hash SHA1:

  • 0d75fdf93a8b6854786f640faa26f2c6c7ae2052

  SOLUTION

Minimum scan engine: 8.900
VSAPI Pattern ver?ffentlicht am: 03 sierpnia 2010
VSAPI Pattern ver?ffentlicht am: 8/3/2010 12:00:00 AM
VSAPI OPR PATTERN-VERSION: 07.360.01

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Reiniciar en modo seguro

[ learnMore ]

Step 3

Eliminar esta clave del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_CURRENT_USER\Software\Microsoft
    • {random}

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

?
  • In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • {ABC0FF60-72B8-6FF7-5511-F48AC9CEAFA3} = %Application Data%\{random1}\{random}.exe

Step 5

Buscar y eliminar estas carpetas

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas. %Application Data%\{random1}
%Application Data%\{random2}

Step 6

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TSPY_ZBOT.BAW En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.