publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Zagaban.H

Virus Zagaban.H

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad muy baja Propagación Propagación muy baja Daño Daño bajo
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Zagaban.H realiza las siguientes acciones:

  • Monitoriza las direcciones web accedidas por el usuario mediante el navegador Internet Explorer, buscando una serie de cadenas de texto relacionadas con entidades bancarias, entre otras:
    abbeyinternational.com
    anoffshore.com
    arquired.es
    aurora.es
    banc
    bancaja.es
    bancaonline.es
    bancoandalucia.es
    bancoasturias.com
    bancoatlantico.es
    bancodemurcia.es
    bancodevalencia.es
    bancoetcheverria.es
    bancogallego.es
    bancogui.es
    bancoherrero.com
    bancoinversion.es
    bancopastor.es
    bancopopular.es
    bancopopular-e.com
    bancosantander.es
    bancourquijo.es
    bancozaragozano.es
    bancsabadell.es
    banesto.es
    banif.es
    bank
    bankoa.es
    bankoanet.com
    bankpyme.es
    bansalease.com
    barclays.es
    batlantico.es
    bbi.co.im
    bbk.es
    bbv.es
    bbva.es
    bbvanet.com
    bbvanetoffice.com
    bde.es
    bes.es
    bgnetplus.com
    bibm.ad
    cai.es
    caixabank.ad
    caixacat.es
    caixacatalunya.es
    caixa-enginyers.com
    caixagirona.es
    caixaguissona.es
    caixamanlleu.es
    caixamanresa.com
    caixapenedes.es
    caixasabadell.net
    caixaterrassa.es
    caja
    cajaactiva.es
    cajabadajoz.es
    cajacaminos.es
    cajacampo.es
    cajacampo.org
    cajacanarias.es
    cajacantabria.com
    cajacirculo.com
    cajacirculo.es
    cajadeavila.es
    cajadeburgos.es
    cajaen.es
    cajaespana.es
    cajaextremadura.es
    caja-granada.es
    cajaguadalajara.biz
    caja-ingenieros.es
    cajalaboral.com
    cajalaboral.es
    cajamadrid.es
    cajamadridempresas.es
    cajamar.es
    cajamurcia.es
    cajanavarra.es
    cajarioja.es
    cajarural.com
    cajasanfernando.es
    cajasegovia.es
    cajastur.es
    cajasur.es
    cajavital.es
    cam.es
    caser.es
    cash
    cash
    casyc.es
    ccm.es
    cconline.es
    ceca.es
    citi
    citibank.com
    citibank.es
    clavenet.net
    creditandorra.ad
    ebankinter.com
    ebankinter.es
    ebay
    e-credit.ad
    elmonte.es
    empressa
    e-pueyo.com
    etrade.com
    eurocredito.es
    fibanc.es
    grupobbva.com
    gruposantander.es
    halifax.es
    hispamer.es
    homecem.com
    hotmail
    hsbc
    ibercaja.es
    ibercajadirecto.com
    ing
    ingdirect.es
    inica
    ksk-es.de
    kutxa.es
    kutxa.net
    lacaixa.com
    lacaixa.es
    lacajadecanarias.es
    lloydstsb.es
    mixmail
    money
    money
    mortonmanagement.com
    msn
    oficinadirecta.com
    patagon.es
    ruralcaja.es
    santandercentralhispano.es
    solbank.com
    telefonica
    teleline
    terra
    tiscali
    trade
    transfer
    unicaja.es
    univia.es
    uno-e.com
    wire
    wonadoo
    yahoo
  • En caso de que encuentre alguna de dichas cadenas de texto en la dirección web, registra tanto dicha dirección como las pulsaciones de teclado realizadas en ella, con lo que puede conseguir información sensible: contraseñas de acceso, números de cuenta, números secretos, etc., con el consiguiente peligro para el usuario.
  • La información capturada es enviada al servidor web situado en www.alum<bloqueado>ap.com.

Metodo de infección:

Zagaban.H crea los siguientes archivos en el directorio de sistema de Windows:

  • IPREG.EXE. Este archivo es una copia del troyano.
  • SPDR.DLL. Este archivo es una DLL (Librería de Enlace Dinámico).

 

Zagaban.H crea la siguiente entrada en el Registro de Windows:

  • HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
    ipreg = %sysdir%\ ipreg.exe
    donde %sysdir% es el directorio de sistema de Windows.
    Mediante esta entrada, Zagaban.H consigue ejecutarse siempre que Windows se inicia.

 

Para realizar sus acciones, Zagaban.H lleva a cabo el siguiente proceso:

  • Crea el archivo SPDR.DLL en el directorio de sistema de Windows.
  • Inyecta dicha DLL en todos los procesos que se lancen a partir de ese momento.
  • Si el proceso en el que es inyectada es el de Internet Explorer (llamado iexplore.exe), la DLL redirecciona todas las llamadas a la función API HttpSendRequest hacia su propio código.
  • La DLL comprueba si la dirección web a la que el usuario intenta acceder contiene alguna de las cadenas de texto que tiene especificadas en su código, correspondientes en su mayoría a entidades bancarias.
  • La DLL se encarga de registrar la dirección web accedida, así como las pulsaciones de teclado realizadas en ella, con lo que puede capturar datos como contraseñas, números de cuenta, números secretos de acceso, etc.
  • Los datos capturados son enviados a un servidor web en Internet.

Metodo de propagación:

Zagaban.H no se propaga automáticamente por sus propios medios, sino que precisa de la intervención de un usuario atacante para su propagación. Los medios empleados son variados, e incluyen, entre otros, disquetes, CD-ROMs, mensajes de correo electrónico con archivos adjuntos, descargas de Internet, transferencia de archivos a través de FTP, canales IRC, redes de intercambio de archivos punto a punto (P2P), etc.

Otros detalles:

Zagaban.H tiene un tamaño de 17410 Bytes, y está comprimido mediante UPX.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería de Navidad

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Callejero

 

Cine

 

Dibujos para colorear

Dietas

 

Glosario

 

Horóscopo
Desarrolado por Hispanetwork