TSPY_ZBOT.GST
Windows 2000, XP, Server 2003
Threat Type:
Spyware
Destructiveness:
No
Encrypted:
Yes
In the wild::
Yes
OVERVIEW
Intenta robar la informaci¨®n que se utiliza para iniciar sesi¨®n en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contrase?as).
TECHNICAL DETAILS
Detalles de entrada
Puede haberse descargado desde los sitios remotos siguientes:
- http://{BLOCKED}wave-aug.com/FE01.exe
±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô
Agrega las carpetas siguientes:
- %Application Data%\{random folder 1}
- %Application Data%\{random folder 2}
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Se introduce en los siguientes procesos que se ejecutan en la memoria del sistema afectado:
- explorer.exe
- taskhost.exe
- taskeng.exe
- Dwm.exe
- wscntfy.exe
- ctfmon.exe
- rdpclip.exe
T¨¦cnica de inicio autom¨¢tico
Agrega las siguientes entradas de registro para permitir su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
{GUID} = %Application Data%\{random folder 1}\{random file name}.exe
Infiltra los archivos siguientes:
- %Application Data%\\{random1}\\{random}.exe - copy of itself
- %Application Data%\{random folder 2}\{random file name} - contains encrypted stolen data
(Nota: %Application Data% es la carpeta Application Data del usuario activo, que en el caso de Windows 98 y ME suele estar ubicada en C:\Windows\Profiles\{nombre de usuario}\Application Data, en el caso de Windows NT en C:\WINNT\Profiles\{nombre de usuario}\Application Data y en el caso de Windows 2000, XP y Server 2003 en C:\Documents and Settings\{nombre de usuario}\Local Settings\Application Data).
)Otras modificaciones del sistema
Crea la(s) siguiente(s) entrada(s) de registro para evitar el cortafuegos de Windows:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%Windows%\\EXPLORER.EXE = %Windows%\EXPLORER.EXE:*:Enabled:Windows Explorer
Robo de informaci¨®n
Controla la actividad de Internet Explorer (IE) del sistema afectado, en particular la barra de direcciones. Recrea un sitio Web leg¨ªtimo con una p¨¢gina de inicio de sesi¨®n falsa cuando un usuario visita sitios de banca con las siguientes cadenas en la barra de direcciones y/o barra de t¨ªtulo:
- *.ebay.com/*eBayISAPI.dll?*
- *.hsbc.co.uk/1/2*
- *//mail.yandex.ru/
- *//mail.yandex.ru/index.xml
- *//money.yandex.ru/
- *//money.yandex.ru/index.xml
- */atl.osmp.ru/*
- */login.osmp.ru/*
- */my.ebay.com/*CurrentPage=MyeBayPersonalInfo*
- *banquepopulaire.fr/*
- *wellsfargo.com/*
- http://*.osmp.ru/
- http://caixasabadell.net/banca2/tx0011/0011.jsp
- http://www.hsbc.co.uk/1/2/personal/internet-banking*
- https://areasegura.banif.es/bog/bogbsn*
- https://banca.cajaen.es/Jaen/INclient.jsp
- https://bancaonline.openbank.es/servlet/PProxy?*
- https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp
- https://banesnet.banesto.es/*/loginEmpresas.htm
- https://banking*.anz.com/*
- https://cardsonline-consumer.com/RBSG_Consumer/VerifyLogin.do
- https://carnet.cajarioja.es/banca3/tx0011/0011.jsp
- https://easyweb*.tdcanadatrust.com/servlet/*FinancialSummaryServlet*
- https://empresas.gruposantander.es/WebEmpresas/servlet/webempresas.servlets.*
- https://extranet.banesto.es/*/loginParticulares.htm
- https://extranet.banesto.es/npage/OtrosLogin/LoginIBanesto.htm
- https://hb.quiubi.it/newSSO/x11logon.htm
- https://home.cbonline.co.uk/login.html*
- https://home.ybonline.co.uk/login.html*
- https://home.ybonline.co.uk/ral/loginmgr/*
- https://home2ae.cd.citibank.ae/CappWebAppAE/producttwo/capp/action/signoncq.do
- https://ibank.internationalbanking.barclays.com/logon/icebapplication*
- https://intelvia.cajamurcia.es/2043/entrada/01entradaencrip.htm
- https://internetbanking.aib.ie/hb1/roi/signon
- https://light.webmoney.ru/default.aspx
- https://lot-port.bcs.ru/names.nsf?#ogin*
- https://montevia.elmonte.es/cgi-bin/INclient_2098*
- https://oi.cajamadrid.es/CajaMadrid/oi/pt_oi/Login/login
- https://oie.cajamadridempresas.es/CajaMadrid/oie/pt_oie/Login/login_oie_1
- https://olb2.nationet.com/MyAccounts/frame_MyAccounts_WP2.asp*
- https://olb2.nationet.com/signon/signon*
- https://online*.lloydstsb.co.uk/logon.ibc
- https://online-business.lloydstsb.co.uk/customer.ibc
- https://online-offshore.lloydstsb.com/customer.ibc
- https://online.wamu.com/Servicing/Servicing.aspx?targetPage=AccountSummary
- https://online.wellsfargo.com/das/cgi-bin/session.cgi*
- https://online.wellsfargo.com/login*
- https://online.wellsfargo.com/signon*
- https://onlinebanking#.wachovia.com/myAccounts.aspx?referrer=authService
- https://onlinebanking.nationalcity.com/OLB/secure/AccountList.aspx
- https://onlineeast#.bankofamerica.com/cgi-bin/ias/*/GotoWelcome
- https://pastornetparticulares.bancopastor.es/SrPd*
- https://privati.internetbanking.bancaintesa.it/sm/login/IN/box_login.jsp
- https://probanking.procreditbank.bg/main/main.asp*
- https://resources.chase.com/MyAccounts.aspx
- https://rupay.com/index.php
- https://scrigno.popso.it*
- https://web.da-us.citibank.com/*BS_Id=MemberHomepage*
- https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/autherror.do*
- https://web.da-us.citibank.com/cgi-bin/citifi/portal/l/l.do
- https://web.secservizi.it/siteminderagent/forms/login.fcc
- https://welcome23.smile.co.uk/SmileWeb/start.do
- https://welcome27.co-operativebank.co.uk/CBIBSWeb/start.do
- https://www#.citizensbankonline.com/*/index-wait.jsp
- https://www#.usbank.com/internetBanking/LoginRouter
- https://www*.banking.first-direct.com/1/2/*
- https://www.53.com/servlet/efsonline/index.html*
- https://www.bancajaproximaempresas.com/ControlEmpresas*
- https://www.bancoherrero.com/es/*
- https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
- https://www.bgnetplus.com/niloinet/login.jsp
- https://www.caixagirona.es/cgi-bin/INclient_2030*
- https://www.caixalaietana.es/cgi-bin/INclient_2042
- https://www.caixaontinyent.es/cgi-bin/INclient_2045
- https://www.caixatarragona.es/esp/sec_1/oficinacodigo.jsp
- https://www.caja-granada.es/cgi-bin/INclient_2031
- https://www.cajabadajoz.es/cgi-bin/INclient_6010*
- https://www.cajacanarias.es/cgi-bin/INclient_6065
- https://www.cajacirculo.es/ISMC/Circulo/acceso.jsp
- https://www.cajadeavila.es/cgi-bin/INclient_6094
- https://www.cajalaboral.com/home/acceso.asp
- https://www.cajasoldirecto.es/2106/*
- https://www.cajavital.es/Appserver/vitalnet*
- https://www.ccm.es/cgi-bin/INclient_6105
- https://www.citibank.de*
- https://www.clavenet.net/cgi-bin/INclient_7054
- https://www.dab-bank.com*
- https://www.e-gold.com/acct/balance.asp*
- https://www.e-gold.com/acct/li.asp
- https://www.ebank.hsbc.co.uk/main/IBLogon.jsp
- https://www.fibancmediolanum.es/BasePage.aspx*
- https://www.gruposantander.es/*
- https://www.gruposantander.es/bog/sbi*?ptns=acceso*
- https://www.gruppocarige.it/grps/vbank/jsp/login.jsp
- https://www.halifax-online.co.uk/MyAccounts/MyAccounts.aspx*
- https://www.halifax-online.co.uk/_mem_bin/*
- https://www.halifax-online.co.uk/_mem_bin/formslogin.asp*
- https://www.isbank.com.tr/Internet/ControlLoader.aspx*
- https://www.isideonline.it/relaxbanking/sso.Login*
- https://www.iwbank.it/private/index_pub.jhtml*
- https://www.mybank.alliance-leicester.co.uk/login/*
- https://www.nwolb.com/Login.asp*
- https://www.nwolb.com/Login.aspx*
- https://www.paypal.com/*/webscr?cmd=_account
- https://www.paypal.com/*/webscr?cmd=_login-done*
- https://www.rbsdigital.com/Login.asp*
- https://www.sabadellatlantico.com/es/*
- https://www.suntrust.com/portal/server.pt*parentname=Login*
- https://www.unicaja.es/PortalServlet*
- https://www.uno-e.com/local_bdnt_unoe/Login_unoe2.html
- https://www.us.hsbc.com/*
- https://www.wellsfargo.com/*
- https://www2.bancopopular.es/AppBPE/servlet/servin*
Accede al siguiente sitio para descargar su archivo de configuraci¨®n:
- http://{BLOCKED}ave-aug.com/conf_fe01.bin
- http://{BLOCKED}ya-my.com/conf_fe01.bin
- http://{BLOCKED}i-test.com/conf_fe01.bin
- http://{BLOCKED}ice-sok.com/conf_fe01.bin
- http://{BLOCKED}a-in-uk.com/conf_fe01.bin
- http://{BLOCKED}ka-net.com/conf_fe01.bin
Intenta robar informaci¨®n de los siguientes bancos y/u otros organismos financieros:
- AIB
- ANZ
- Alliance & Leicester
- BBVA
- BG Net Plus
- Banca Intesa
- Bancaja
- Banco Herrero
- Banco Pastor
- Banco Popular
- Banesto
- Banif
- Bank of America
- Banque Populaire
- Barclays
- BrokerCreditService
- CCM
- Caixa Girona
- Caixa Laietana
- Caixa Ontinyent
- Caixa Sabadell
- Caixa Tarragona
- Caja Badajoz
- Caja Canarias
- Caja Circulo
- Caja Granada
- Caja Laboral
- Caja Madrid
- Caja Murcia
- Caja Vital
- Caja de Avila
- Caja de Jaen
- Cajarioja
- Cajasol
- Chase
- Citibank
- Citizens
- Clavenet
- Clydesdale
- Co-Operativebank
- DAB
- E-Gold
- Ebay
- Fibanc Mediolanum
- Fifth Third
- First Direct
- Gruppo Carige
- HSBC
- Halifax
- IS Bank
- IW Bank
- Iside
- Lloyds
- National City
- Nationwide
- Natwest
- OSPM
- Openbank
- PayPal
- PosteItaliane
- Procredit
- Qui UBI
- RBS
- Rupay
- Sabadell Atlantico
- Santander
- Scrigno
- Secservizi
- Smile
- Suntrust
- TD Canada Trust
- US Bank
- Unicaja
- Uno-E
- Wachovia
- Washington Mutual
- Webmoney Keeper Light
- Wells Fargo
- Yandex
- Yorkshire
Puntos de infiltraci¨®n
La informaci¨®n robada se carga en los sitios Web siguientes:
- http://{BLOCKED}wave-aug.com/MIXADM/gotobot.php
Informaci¨®n de variantes
Tiene los siguientes valores hash MD5:
- 4af2ec7f2e8b7e262e45a978bf9dd82c
Tiene los siguientes valores hash SHA1:
- 7cb2f0f5e0a11643ad51bf78b4c64f2e242916bf
SOLUTION
Step 1
Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.
Step 2
Reiniciar en modo seguro
Step 3
Buscar y eliminar esta carpeta
Step 4
Eliminar este valor del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\PhishingFilter
- Enabled=0
- Enabled=0
- In HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\PhishingFilter
- EnabledV8=0
- EnabledV8=0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %WINDOWS%\EXPLORER.EXE =%WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer
- %WINDOWS%\EXPLORER.EXE =%WINDOWS%\EXPLORER.EXE:*:Enabled:Windows Explorer
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- {GUID of mount point of %Windows%} =%Application Data%
- {GUID of mount point of %Windows%} =%Application Data%
Step 5
Eliminar esta clave del Registro
Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.
- In HKEY_CURRENT_USER\Software\\Microsoft\
- {random}
- {random}
Step 6
Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TSPY_ZBOT.GST En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.
Did this description help? Tell us how we did.