Banki adatokat lopkod a ZBot trójai

A ZBot.HS trójai a banki tranzakciók során megadott adatok megszerzésére specializálódott.

A ZBot.HS trójai kifejezetten az online banki tranzakciók során megadott, illetve keletkező adatok után kíváncsiskodik. Ennek érdekében létrehoz néhány fájlt a Windows könyvtáraiban, majd módosítja a regisztrációs adatbázist. Ezt követően módosításokat végez az Internet Explorerben, és jól ismert folyamatokat megfertőzve igyekszik elrejtőzni. A ZBot.HS folyamatosan monitorozza a fertőzött számítógépeken letöltött banki weboldalakat, és összegyűjti az azokon megadott adatokat. A trójai a ZoneAlarm, valamint az Outpost tűzfalakra különös figyelmet fordít, és igyekszik azokat hatástalanítani.

Amikor a ZBot.HS trójai elindul, akkor az alábbi műveleteket hajtja végre:

1. Létrehozza a következő fájlt: %windir%system32 tos.exe.
2. A Windows System könyvtárába létrehoz egy wsnpoem nevű mappát. Ebbe bemásolja az alábbi állományokat: audio.dll, video.dll.
3. A regisztrációs adatbázisban létrehozza a következő értéket:
   HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
   “Userinit” = “%windir%system32userinit.exe,%windir%system32 tos.exe”.
4. Kitörli az Internet Explorer által eltárolt cookie-kat.
5. Megfertőzi a winlogon.exe és az iexplorer.exe folyamatokat. Ezt követően folyamatosan monitorozza a hálózati adatforgalmat.
6. Letölt egy “file.bin” nevű állományt egy távoli szerverről.
7. Naplózza a felhasználó által megadott online banki adatokat.
8. Ellenőrzi, hogy futnak-e az alábbi — tűzfalakhoz tartozó — folyamatok: outpost.exe,  zlclient.exe.