Zbot es un virus que ronda las aguas desde hace varios años. Con una gran cantidad de infecciones en su nombre, los ciber-criminales utilizan este virus para identificar y sustraer tus datos bancarios, así como información personal sensible que se encuentre en tu ordenador (números de teléfono, correos electrónicos, direcciones físicas) para revenderlos. Debido a esta forma de funcionar, Zbot se considera un Stealer.
Zbot se propaga principalmente de 3 formas:
- A través de fallas (o exploit como se les conoce en inglés) en algunos sitios web.
- A través de correos electrónicos, por ejemplo mensajes anunciando actualizaciones falsas de Microsoft.
- A través de descargas de cracks, hacks, seriales y similares.
En el transcurso de los últimos años, Zbot ha jugado al gato y el ratón con diferentes anti-virus. Ha evolucionado rápidamente para intentar pasar desapercibido. Zbot está equipado con tecnología de defensa que le permite disimular los archivos ejecutables y procesos activos en el ordenador de la persona infectada. Es por ésta razón que es imperativo tener un anti-virus actualizado y particularmente uno como Malwarebytes AntiMalware (ya sea en su versión gratuita o versión de paga) que se especializa en este tipo de infección.
Principales síntomas de una infección de Zbot
Uno o más de los siguientes archivos puede aparecer en los directorios System32 y AppData:
- ntos.exe
- twex.exe
- twext.exe
- oembios.exe
- sdra64.exe
- lowsec\\local.ds
- lowsec\\user.ds
Los directorios system32 y AppData, son directorios de sistema de Windows. Según la versión de Windows instalada, dichos directorios pueden estar ubicados en distintos lugares; puedes encontrarlos en:
- Windows Vista, 7 y 8: C:\\Windows\System32 y C:\\Users\AppData
- Windows XP: C:\\Windows\system32 y C:\\Documents and Settings\Application Data
El registro puede contener ciertas entradas que hacen referencia a los archivos sospechosos que mencionamos anteriormente, en los siguientes lugares:
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Zbot es detectado por estos antivirus:
| Antivirus | Detección | Actualización |
|---|---|---|
| AVG | SHeur4.CBDY | 20140911 |
| Avast | Win32:Malware-gen | 20140911 |
| Avira | TR/Dropper.VB.18366 | 20140911 |
| BitDefender | Trojan.GenericKD.1830414 | 20140911 |
| ESET-NOD32 | Win32/Injector.BKYU | 20140911 |
| Emsisoft | Trojan.GenericKD.1830414 (B) | 20140911 |
| Kaspersky | Trojan.Win32.Cutwail.dyi | 20140911 |
| Malwarebytes | Spyware.Zbot.ED | 20140911 |
| McAfee | Dropper-FLO!9B163B3286C0 | 20140911 |
| Microsoft | TrojanDownloader:Win32/Dofoil.T | 20140911 |
| Panda | Trj/CI.A | 20140911 |
| Sophos | Troj/VBdrop-BG | 20140911 |
| Symantec | Trojan.Smoaler | 20140911 |
| TrendMicro | TROJ_DOFOIL.WYTD | 20140911 |