Лечить вирусную инфекцию с помощью Trojan-Spy.Win32.ZBot.a

464
Leonardo Urbano

Через пару дней я получил сообщение от KIS 2016 о том, что он нашел этот троян в MEM. Я пытаюсь почистить и перезагрузить компьютер, все идет хорошо, но через некоторое время это сообщение появляется снова. Я пытался загрузить ZBotKiller с сайта Kaspersky, но он ничего не находит (возможно, потому что мой антивирус уже очистил объект). У меня вопрос, как я могу понять, каким образом он заражает, и фон снова запускается? Я логично хочу решить эту проблему из источника! Может быть, у меня есть открытый порт в брандмауэре? Я не новичок, и у меня никогда не было таких проблем.

PS Производительность компьютера отличная, и я не замечаю ничего странного в поведении (например, реклама, всплывающие окна и т. Д.). Моя главная забота касается разумных данных, хранящихся на моем компьютере.

PPS Я не нажимаю на спам или фишинговые письма, и я не скачал ничего странного.

1

1 ответ на вопрос

0
DavidPostill

What is the infection mechanism of Trojan-Spy.Win32.ZBot.a?


Technical details

PREVENTION AND AVOIDANCE

The following actions can be taken to avoid or minimize the risk from this threat.

User behavior and precautions

Trojan.Zbot relies heavily on social engineering in order to infect computers. The spam email campaigns used by attackers attempt to trick the user by referencing the latest news stories, playing upon fears their sensitive information has been stolen, suggesting that compromising photos have been taken of them, or any number of other ruses.

Users should use caution when clicking links in such emails. Basic checks such as hovering with the mouse pointer over each link will normally show where the link leads to. Users can also check online Web site rating services such as safeweb.norton.com to see if the site is deemed safe to visit.

Patch operating system and software

The attackers behind this threat have been known to utilize exploit packs in order to craft Web pages to exploit vulnerable computers and infect them with Trojan.Zbot.

As of February 24, 2010, Trojan.Zbot has been seen using the following vulnerabilities:

  • AOL Radio AmpX ActiveX Control 'ConvertFile()' Buffer Overflow Vulnerability (BID 35028)
  • Microsoft Active Template Library Header Data Remote Code Execution Vulnerability (BID 35558)
  • Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness (BID 10514)
  • Snapshot Viewer for Microsoft Access ActiveX Control Arbitrary File Download Vulnerability (BID 30114)
  • Adobe Reader 'util.printf()' JavaScript Function Stack Buffer Overflow Vulnerability (BID 30035)
  • Adobe Acrobat and Reader Collab 'getIcon()' JavaScript Method Remote Code Execution Vulnerability (BID 34169)
  • Adobe Reader and Acrobat (CVE-2009-2994) U3D 'CLODMeshDeclaration' Buffer Overflow Vulnerability (BID 36689)
  • Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities (BID 27641)

Users are advised to ensure that their operating systems and any installed software are fully patched, and that antivirus and firewall software is up to date and operational. Users should turn on automatic updates if available, so that their computers can receive the latest patches and updates when they are made available.

...

INFECTION METHOD

This threat is known to infect computers through a number of methods. We will examine each of these methods in more detail.

Spam emails

The attackers behind Trojan.Zbot have made a concerted effort to spread their threat using spam campaigns. The subject material varies from one campaign to the next, but often focuses on current events or attempt to trick the user with emails purported to come from well-known institutions such as FDIC, IRS, MySpace, Facebook, or Microsoft.

Drive-by downloads

The authors behind Trojan.Zbot have also been witnessed using exploit packs to spread the threat via drive-by download attacks. When an unsuspecting user visits one of these Web sites, a vulnerable computer will become infected with the threat.

The particular exploits used to spread the threat vary, largely depending on the proliferation and ease-of-use of exploits available in the wild at the time the Trojan is distributed.

As of February 24, 2010, Trojan.Zbot has been seen using the following vulnerabilities:

  • AOL Radio AmpX ActiveX Control 'ConvertFile()' Buffer Overflow Vulnerability (BID 35028)
  • Microsoft Active Template Library Header Data Remote Code Execution Vulnerability (BID 35558)
  • Microsoft Internet Explorer ADODB.Stream Object File Installation Weakness (BID 10514)
  • Snapshot Viewer for Microsoft Access ActiveX Control Arbitrary File Download Vulnerability (BID 30114)
  • Adobe Reader 'util.printf()' JavaScript Function Stack Buffer Overflow Vulnerability (BID 30035)
  • Adobe Acrobat and Reader Collab 'getIcon()' JavaScript Method Remote Code Execution Vulnerability (BID 34169)
  • Adobe Reader and Acrobat (CVE-2009-2994) U3D 'CLODMeshDeclaration' Buffer Overflow Vulnerability (BID 36689)
  • Adobe Acrobat and Reader Multiple Arbitrary Code Execution and Security Vulnerabilities (BID 27641)

Source Trojan.Zbot Technical Details

Спасибо за ответ. Я получаю тонны спама, но никогда не нажимаю на них и, что еще хуже, скачиваю что-то по этим ссылкам! Leonardo Urbano 9 лет назад 0
@LeonardoUrbano Это также может быть зараженный сайт. Смотрите обновленный ответ. DavidPostill 9 лет назад 0
Я видел ... Я использую свой компьютер только для написания C ++ / MQL-кодов и для серфинга (всегда) на одних и тех же веб-сайтах, чтобы получать футбольные новости ... Не более! Кроме того, у меня всегда был антивирус на моем компьютере (я верен KIS по качеству и производительности), поэтому не могу понять, как это возможно. По этим причинам я написал более «сырой» способ проверить, есть ли что-то действительно странное в моем поведении на ПК. Leonardo Urbano 9 лет назад 0
Неважно, как вы заразились. Проверьте [Как я могу удалить вредоносные шпионские программы, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего компьютера?] (Http://superuser.com/q/100360) для других способов очистки вашего компьютера, если он продолжает возвращаться. DavidPostill 9 лет назад 0
Я сделал .. Мне было любопытно, почему он побуждает меня чистить что-то, что уже было убрано. Я прочитал, что тот парень утверждал, говоря, что невозможно полностью вылечить инфекцию, и я хотел получить более технический ответ, если это возможно. :) Leonardo Urbano 9 лет назад 0
Я ответил как можно лучше ... DavidPostill 9 лет назад 0
Не поймите меня неправильно! Ваш ответ был очень исчерпывающим, и я очень ценю ваши объяснения! Я плохо выразил себя, формулируя главный вопрос, это моя вина! Leonardo Urbano 9 лет назад 0