通过Trojan-Spy.Win32.ZBot.a处理病毒感染[复制]

1

这个问题在这里已有答案:

几天后,我收到了我的KIS 2016的提示,说他在MEM中发现了这个特洛伊木马。我尝试清理并重新启动PC,一切顺利,但有一段时间再次显示此消息。我曾尝试从卡巴斯基网站下载ZBotKiller,但它没有找到任何东西(可能是因为我的防病毒软件已经清理过该对象)。我的问题是,我怎么能理解它感染的方式和背景再次运行?我逻辑上希望从源头解决这个问题!也许我的防火墙有一个开放的端口?我不是新手,我从未遇到过这种问题。

PS计算机表现非常好,我没有发现任何奇怪的行为(如广告,弹出窗口等)。我主要关心的是我的PC中存储的敏感数据。

PPS我没有点击垃圾邮件或网络钓鱼邮件,也没有下载任何奇怪的东西。

windows  virus  malware  virus-removal  kaspersky 
莱昂纳多Urbano
source

Answers:

0

Trojan-Spy.Win32.ZBot.a的感染机制是什么?

  • 用户点击进入受感染网页(社会工程)的电子邮件中的链接。
  • 浏览受感染网站的用户(偷渡式下载)。

技术细节

预防和避免

可以采取以下措施来避免或最小化此威胁的风险。

用户行为和注意事项

Trojan.Zbot严重依赖社交工程来感染计算机。攻击者使用的垃圾邮件活动试图通过引用最新的新闻故事欺骗用户,担心他们的敏感信息被盗,表明已经拍摄了他们的照片,或任何其他数量的诡计。

用户在点击此类电子邮件中的链接时应谨慎使用。基本检查(例如用鼠标指针悬停在每个链接上)通常会显示链接指向的位置。用户还可以查看在线网站评级服务,例如safeweb.norton.com,看看该网站是否被认为是安全的。

补丁操作系统和软件

众所周知,这种威胁背后的攻击者利用漏洞攻击包来制作网页,以利用易受攻击的计算机并使用Trojan.Zbot感染它们。

截至2010年2月24日,Trojan.Zbot已被发现使用以下漏洞:

  • AOL Radio AmpX ActiveX控件'ConvertFile()'缓冲区溢出漏洞(BID 35028)
  • Microsoft活动模板库标头数据远程执行代码漏洞(BID 35558)
  • Microsoft Internet Explorer ADODB.Stream对象文件安装弱点(BID 10514)
  • Snapshot Viewer for Microsoft Access ActiveX控件任意文件下载漏洞(BID 30114)
  • Adobe Reader'util.printf()'JavaScript函数堆栈缓冲区溢出漏洞(BID 30035)
  • Adobe Acrobat和Reader Collab'getIcon()'JavaScript方法远程执行代码漏洞(BID 34169)
  • Adobe Reader和Acrobat(CVE-2009-2994)U3D'CLODMeshDeclaration'缓冲区溢出漏洞(BID 36689)
  • Adobe Acrobat和Reader多个任意代码执行和安全漏洞(BID 27641)

建议用户确保其操作系统和任何已安装的软件已完全修补,并且防病毒和防火墙软件是最新且可操作的。用户应该打开自动更新(如果可用),以便他们的计算机可以在可用时接收最新的修补程序和更新。

...

感染方法

众所周知,这种威胁通过多种方法感染计算机。我们将更详细地研究这些方法中的每一种。

垃圾邮件

Trojan.Zbot背后的攻击者已经齐心协力,利用垃圾邮件活动传播威胁。主题材料从一个广告系列到下一个广告系列各不相同,但通常关注当前事件或试图通过声称来自FDIC,IRS,MySpace,Facebook或Microsoft等知名机构的电子邮件欺骗用户。

偷渡式下载

Trojan.Zbot背后的作者也见过使用漏洞利用程序包通过偷渡式下载攻击来传播威胁。当毫无戒心的用户访问其中一个网站时,易受攻击的计算机将感染此威胁。

用于传播威胁的特定攻击各不相同,主要取决于特洛伊木马分发时野外可利用的攻击的扩散和易用性。

截至2010年2月24日,Trojan.Zbot已被发现使用以下漏洞:

  • AOL Radio AmpX ActiveX控件'ConvertFile()'缓冲区溢出漏洞(BID 35028)
  • Microsoft活动模板库标头数据远程执行代码漏洞(BID 35558)
  • Microsoft Internet Explorer ADODB.Stream对象文件安装弱点(BID 10514)
  • Snapshot Viewer for Microsoft Access ActiveX控件任意文件下载漏洞(BID 30114)
  • Adobe Reader'util.printf()'JavaScript函数堆栈缓冲区溢出漏洞(BID 30035)
  • Adobe Acrobat和Reader Collab'getIcon()'JavaScript方法远程执行代码漏洞(BID 34169)
  • Adobe Reader和Acrobat(CVE-2009-2994)U3D'CLODMeshDeclaration'缓冲区溢出漏洞(BID 36689)
  • Adobe Acrobat和Reader多个任意代码执行和安全漏洞(BID 27641)

来源Trojan.Zbot技术细节

DavidPostill
source
谢谢你的回答。我收到大量垃圾邮件,但我从不点击它们,或者更糟糕的是,从这些链接下载一些东西!
Leonardo Urbano 2015年
@LeonardoUrbano它也可能是受感染的网站。查看更新的答案。
DavidPostill
我看到..我只使用我的电脑编写C ++ / MQL代码并在(总是)浏览相同的网站以获取足球新闻..没有更多!此外,我的PC中一直有防病毒软件(由于质量和性能,我对KIS很忠诚),所以我无法弄清楚它是如何实现的。出于这些原因,我写了一个更“原始”的方法来检查我的电脑行为是否真的很奇怪。
Leonardo Urbano 2015年
你被感染的方式并不重要。检查如何从我的PC中删除恶意间谍软件,恶意软件,广告软件,病毒,特洛伊木马或rootkit?用于清理PC的其他方法,如果它不断回来。
DavidPostill
我做了..我很好奇它为什么让我提示要清理已经清理过的东西。我读到那个家伙认为说完全清除感染是不可能的,如果可能的话我想要一个更技术性的答案。:)
Leonardo Urbano 2015年
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.