Modified By:: Kathleen Notario
 PLATFORM:

Windows 2000, XP, Server 2003

 OVER ALL RISK RATING:
 REPORTED INFECTION:
 Beeintr?chtigung der Systemleistung ::
 INFORMATION EXPOSURE:
Low
Medium
High
Critical

  • Threat Type:
    Spyware

  • Destructiveness:
    No

  • Encrypted:
    No

  • In the wild::
    Yes

  OVERVIEW

Intenta robar la informaci¨®n que se utiliza para iniciar sesi¨®n en ciertos sitios Web de bancos y otras entidades financieras (p. ej. nombres de usuario y contrase?as).

  TECHNICAL DETAILS

File size: 62,976 bytes
File type: PE
Memory resident: Yes
INITIAL SAMPLES RECEIVED DATE: 11 pa?dziernika 2010

Puntos de infecci¨®n

Llega en forma de archivo descargado de las siguientes URL:

  • http://{BLOCKED}6.addr.com/bot.exe

±õ²Ô²õ³Ù²¹±ô²¹³¦¾±¨®²Ô

Crea copias de s¨ª mismo en la carpeta del sistema de Windows y anexa c¨®digos basura a las copias para dificultar su detecci¨®n. Las copias utilizan los siguientes nombres de archivo:

  • sdra64.exe

Crea las siguientes carpetas con atributos configurados como Sistema y Oculto para impedir que los usuarios descubran y eliminen sus componentes:

  • %System%\lowsec

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Agrega las siguientes exclusiones mutuas para garantizar que solo se ejecuta una de sus copias en todo momento:

  • __SYSTEM__64AD0625__

Este malware se inyecta a s¨ª mismo en los siguientes procesos como parte de su rutina de residencia en memoria:

  • SVCHOST.EXE
  • WINLOGON.EXE

T¨¦cnica de inicio autom¨¢tico

Modifique las siguientes entradas de registro para garantizar su ejecuci¨®n autom¨¢tica cada vez que se inicia el sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
Userinit = %System%\userinit.exe, %System%\sdra64.exe,

(Note: The default value data of the said registry entry is %System%\userinit.exe,.)

Otras modificaciones del sistema

Agrega las siguientes entradas de registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Network
UID = {computer name}_{random numbers}

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile
EnableFirewall = 0

Rutina de infiltraci¨®n

Infiltra los archivos siguientes:

  • %System%\lowsec\local.ds - copy of the encrypted downloaded file
  • %System%\lowsec\user.ds - used to save the gathered information

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Robo de informaci¨®n

Accede al siguiente sitio para descargar su archivo de configuraci¨®n:

  • http://{BLOCKED}6.addr.com/config.bin

Tenga en cuenta que el contenido del archivo, y por tanto la lista de sitios web, puede cambiar en cualquier momento.

Intenta robar informaci¨®n de los siguientes bancos y/u otros organismos financieros:

  • AIB
  • ANZ
  • Alliance & Leicester
  • BG Net Plus
  • Banca Intesa
  • Bancaja
  • Banco Herrero
  • Banco Pastor
  • Banco Popular
  • Banesto
  • Banif
  • Bank of America
  • Banque Populaire
  • Barclays
  • BrokerCreditService
  • CCM
  • Caixa Girona
  • Caixa Laietana
  • Caixa Ontinyent
  • Caixa Sabadell
  • Caixa Tarragona
  • Caja Badajoz
  • Caja Canarias
  • Caja Circulo
  • Caja Granada
  • Caja Laboral
  • Caja Madrid
  • Caja Murcia
  • Caja Vital
  • Caja de Avila
  • Caja de Jaen
  • Cajarioja
  • Cajasol
  • Chase
  • Citibank
  • Citizens
  • Clavenet
  • Clydesdale
  • Co-Operativebank
  • DAB
  • E-Gold
  • Ebay
  • Fibanc Mediolanum
  • Fifth Third
  • First Direct
  • GAD
  • Gruppo Carige
  • HSBC
  • Halifax
  • IS Bank
  • IW Bank
  • Iside
  • Lloyds
  • Microsoft
  • Myspace
  • National City
  • Nationwide
  • Natwest
  • OSPM
  • Odnoklassniki
  • Openbank
  • PayPal
  • PosteItaliane
  • Procredit
  • Qui UBI
  • RBS
  • Rupay
  • Sabadell Atlantico
  • Santander
  • Scrigno
  • Secservizi
  • Smile
  • Suntrust
  • TD Canada Trust
  • US Bank
  • Unicaja
  • Uno-E
  • Vkontakte
  • Wachovia
  • Washington Mutual
  • Webmoney Keeper Light
  • Wells Fargo
  • Yandex
  • Yorkshire

Informaci¨®n sustra¨ªda

La informaci¨®n robada se guarda en los siguientes archivos:

  • %System%\lowsec\user.ds

(Nota: %System% es la carpeta del sistema de Windows, que en el caso de Windows 98 y ME suele estar en C:\Windows\System, en el caso de Windows NT y 2000 en C:\WINNT\System32 y en el caso de Windows XP y Server 2003 en C:\Windows\System32).

)

Este malware env¨ªa la informaci¨®n recopilada a la siguiente URL a trav¨¦s de HTTP POST:

  • http://{BLOCKED}6.addr.com/gate.php

Informaci¨®n de variantes

Tiene los siguientes valores hash MD5:

  • 6c83cd8cc8cf7e9300d8f6ae62ae7a7b

Tiene los siguientes valores hash SHA1:

  • 5763d1845ef34dcbbc74c127a1b94c3c51d9b2cc

  SOLUTION

Minimum scan engine: 8.900
VSAPI Pattern-Datei: 6.241.00
VSAPI Pattern ver?ffentlicht am: 01 lipca 2009
VSAPI Pattern ver?ffentlicht am: 7/1/2009 12:00:00 AM

Step 1

Los usuarios de Windows ME y XP, antes de llevar a cabo cualquier exploraci¨®n, deben comprobar que tienen desactivada la opci¨®n Restaurar sistema para permitir la exploraci¨®n completa del equipo.

Step 2

Reiniciar en modo seguro

[ learnMore ]

Step 3

Restaurar este valor del Registro modificado

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    • From: Userinit = %System%\userinit.exe, %System%\sdra64.exe,
      • To: Userinit =?%System%\userinit.exe,

Step 4

Eliminar este valor del Registro

[ learnMore ]

Importante: si modifica el Registro de Windows incorrectamente, podr¨ªa hacer que el sistema funcione mal de manera irreversible. Lleve a cabo este paso solo si sabe c¨®mo hacerlo o si puede contar con ayuda de su administrador del sistema. De lo contrario, lea este antes de modificar el Registro del equipo.

  • In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
    • UID = {computer name}_{random numbers}
  • In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    • EnableFirewall = 0

Step 5

Buscar y eliminar esta carpeta

[ learnMore ]
Aseg¨²rese de que tiene activada la casilla Buscar archivos y carpetas ocultos en la opci¨®n M¨¢s opciones avanzadas para que el resultado de la b¨²squeda incluya todas las carpetas ocultas.
  • %System%\lowsec

Step 6

Explorar el equipo con su producto de live casino online para eliminar los archivos detectados como TSPY_ZBOT.ILA En caso de que el producto de live casino online ya haya limpiado, eliminado o puesto en cuarentena los archivos detectados, no ser¨¢n necesarios m¨¢s pasos. Puede optar simplemente por eliminar los archivos en cuarentena. Consulte esta para obtener m¨¢s informaci¨®n.


Did this description help? Tell us how we did.