A ZBot.HS trójai a banki tranzakciók során megadott adatok megszerzésére specializálódott.
A ZBot.HS trójai kifejezetten az online banki tranzakciók során megadott, illetve keletkező adatok után kíváncsiskodik. Ennek érdekében létrehoz néhány fájlt a Windows könyvtáraiban, majd módosítja a regisztrációs adatbázist. Ezt követően módosításokat végez az Internet Explorerben, és jól ismert folyamatokat megfertőzve igyekszik elrejtőzni. A ZBot.HS folyamatosan monitorozza a fertőzött számítógépeken letöltött banki weboldalakat, és összegyűjti az azokon megadott adatokat. A trójai a ZoneAlarm, valamint az Outpost tűzfalakra különös figyelmet fordít, és igyekszik azokat hatástalanítani.
Amikor a ZBot.HS trójai elindul, akkor az alábbi műveleteket hajtja végre:
- Létrehozza a következő fájlt: %windir%system32 tos.exe.
- A Windows System könyvtárába létrehoz egy wsnpoem nevű mappát. Ebbe bemásolja az alábbi állományokat: audio.dll, video.dll.
- A regisztrációs adatbázisban létrehozza a következő értéket:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
“Userinit” = “%windir%system32userinit.exe,%windir%system32 tos.exe”. - Kitörli az Internet Explorer által eltárolt cookie-kat.
- Megfertőzi a winlogon.exe és az iexplorer.exe folyamatokat. Ezt követően folyamatosan monitorozza a hálózati adatforgalmat.
- Letölt egy “file.bin” nevű állományt egy távoli szerverről.
- Naplózza a felhasználó által megadott online banki adatokat.
- Ellenőrzi, hogy futnak-e az alábbi — tűzfalakhoz tartozó — folyamatok: outpost.exe, zlclient.exe.