A ZBot.HS trójai a banki tranzakciók során megadott adatok megszerzésére specializálódott.

A ZBot.HS trójai kifejezetten az online banki tranzakciók során megadott, illetve keletkező adatok után kíváncsiskodik. Ennek érdekében létrehoz néhány fájlt a Windows könyvtáraiban, majd módosítja a regisztrációs adatbázist. Ezt követően módosításokat végez az Internet Explorerben, és jól ismert folyamatokat megfertőzve igyekszik elrejtőzni. A ZBot.HS folyamatosan monitorozza a fertőzött számítógépeken letöltött banki weboldalakat, és összegyűjti az azokon megadott adatokat. A trójai a ZoneAlarm, valamint az Outpost tűzfalakra különös figyelmet fordít, és igyekszik azokat hatástalanítani.

Banki adatokat lopkod a ZBot trójai

Amikor a ZBot.HS trójai elindul, akkor az alábbi műveleteket hajtja végre:

  1. Létrehozza a következő fájlt: %windir%system32 tos.exe.
  2. A Windows System könyvtárába létrehoz egy wsnpoem nevű mappát. Ebbe bemásolja az alábbi állományokat: audio.dll, video.dll.
  3. A regisztrációs adatbázisban létrehozza a következő értéket:
    HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
    “Userinit” = “%windir%system32userinit.exe,%windir%system32 tos.exe”.
  4. Kitörli az Internet Explorer által eltárolt cookie-kat.
  5. Megfertőzi a winlogon.exe és az iexplorer.exe folyamatokat. Ezt követően folyamatosan monitorozza a hálózati adatforgalmat.
  6. Letölt egy “file.bin” nevű állományt egy távoli szerverről.
  7. Naplózza a felhasználó által megadott online banki adatokat.
  8. Ellenőrzi, hogy futnak-e az alábbi — tűzfalakhoz tartozó — folyamatok: outpost.exe,  zlclient.exe.