TSPY_ZBOT.HEK
El TSPY_ZBOT.HEK es un software espía, que se propaga como un archivo descargado de una URL remota. Al entrar en el sistema, el TSPY_ZBOT.HEK conecta a un servidor remoto y descarga un archivo que contiene información acerca de lo que el spyware puede descargar una copia de sí mismo y dónde enviar la información robada. El TSPY_ZBOT.HEK intenta robar información bancaria de la víctima como nombres de usuario y contraseñas. Así, el TSPY_ZBOT.HEK envía la información recogida a una dirección URL remota a través de HTTP POST. El HTTP POST es una infección peligrosa de equipo, que debe ser eliminada de la PC infectada inmediatamente después de la detección.
Detalles del Sistema de Archivos
TSPY_ZBOT.HEK puede crear los siguientes archivos:
| # | Nombre |
Detecciones
Detecciones: la cantidad de casos confirmados y sospechosos de una amenaza particular detectada en computadoras infectadas según lo informado por SpyHunter.
|
|---|---|---|
| 1. | %System%\lowsec\user.ds |
Detalles del Registro
TSPY_ZBOT.HEK puede crear la siguiente entrada o entradas de registro:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows NT\CurrentVersion\Winlogon
EnableFirewall = "0"
UID = "{Computer name}_{Random numbers}"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\ Services\SharedAccess\Parameters\ FirewallPolicy\StandardProfile
Windows NT\CurrentVersion\Network
Userinit = "%System%\userinit.exe, %System%\sdra64.exe,"
