กลไกการติดเชื้อของ Trojan-Spy.Win32.ZBot.a คืออะไร?
รายละเอียดทางเทคนิค
การป้องกันและหลีกเลี่ยง
สามารถดำเนินการดังต่อไปนี้เพื่อหลีกเลี่ยงหรือลดความเสี่ยงจากภัยคุกคามนี้
พฤติกรรมของผู้ใช้และข้อควรระวัง
Trojan.Zbot อาศัยอย่างหนักกับวิศวกรรมทางสังคมเพื่อที่จะทำให้คอมพิวเตอร์ติดเชื้อ แคมเปญอีเมลสแปมที่ผู้โจมตีใช้พยายามหลอกลวงผู้ใช้โดยอ้างอิงถึงข่าวล่าสุดการเล่นโดยกลัวว่าข้อมูลที่ละเอียดอ่อนของพวกเขาถูกขโมยไปแล้วโดยบอกว่าภาพถ่ายเหล่านั้นได้ถูกนำไปใช้หรือรูปอื่นใด
ผู้ใช้ควรใช้ความระมัดระวังเมื่อคลิกลิงค์ในอีเมลดังกล่าว การตรวจสอบขั้นพื้นฐานเช่นการวางเมาส์เหนือตัวชี้เมาส์เหนือแต่ละลิงก์จะแสดงตำแหน่งที่ลิงก์นำไปสู่ ผู้ใช้สามารถตรวจสอบบริการจัดอันดับเว็บไซต์ออนไลน์เช่น safeweb.norton.com เพื่อดูว่าเว็บไซต์นั้นปลอดภัยที่จะเยี่ยมชมหรือไม่
แพทช์ระบบปฏิบัติการและซอฟต์แวร์
ผู้โจมตีที่อยู่เบื้องหลังภัยคุกคามนี้รู้จักใช้ประโยชน์จากช่องโหว่เพื่อจัดทำเว็บเพจเพื่อใช้ประโยชน์จากคอมพิวเตอร์ที่มีช่องโหว่และติดเชื้อด้วย Trojan.Zbot
ตั้งแต่วันที่ 24 กุมภาพันธ์ 2010 เป็นต้นมา Trojan.Zbot ถูกพบโดยใช้ช่องโหว่ดังต่อไปนี้:
- AOL วิทยุ AmpX ActiveX Control 'ConvertFile ()' ช่องโหว่บัฟเฟอร์ล้น (BID 35028)
- ช่องโหว่การเรียกใช้โค้ดส่วนหัวของไลบรารี Microsoft Active เทมเพลตข้อมูลระยะไกล (BID 35558)
- จุดอ่อนในการติดตั้งไฟล์ ADOD ของ Microsoft Internet Explorer Microsoft Object จุดอ่อน (BID 10514)
- Snapshot Viewer สำหรับการดาวน์โหลด Microsoft Access ActiveX Control Arbitrary ไฟล์ดาวน์โหลดช่องโหว่ (BID 30114)
- Adobe Reader 'util.printf ()' ฟังก์ชั่น JavaScript ช่องโหว่บัฟเฟอร์ล้นล้น (BID 30035)
- Adobe Acrobat และ Reader Collab 'getIcon ()' วิธีการ JavaScript รหัสระยะไกลช่องโหว่การเรียกใช้โค้ด (BID 34169)
- Adobe Reader และ Acrobat (CVE-2009-2994) ช่องโหว่บัฟเฟอร์ล้นของ U3D 'CLODMeshDeclaration' (BID 36689)
- Adobe Acrobat และ Reader การใช้รหัสโดยอำเภอใจและช่องโหว่ด้านความปลอดภัย (BID 27641)
ผู้ใช้ควรแน่ใจว่าระบบปฏิบัติการและซอฟต์แวร์ที่ติดตั้งใด ๆ ได้รับการติดตั้งอย่างสมบูรณ์และซอฟต์แวร์ป้องกันไวรัสและไฟร์วอลล์เป็นข้อมูลล่าสุดและใช้งานได้ ผู้ใช้ควรเปิดการอัปเดตอัตโนมัติถ้ามีเพื่อให้คอมพิวเตอร์ของพวกเขาสามารถรับแพตช์และการอัพเดทล่าสุดได้เมื่อมีให้
...
วิธีการติดเชื้อ
ภัยคุกคามนี้เป็นที่รู้จักกันว่าทำให้คอมพิวเตอร์ติดเชื้อได้หลายวิธี เราจะตรวจสอบวิธีการเหล่านี้โดยละเอียด
อีเมลขยะ
ผู้โจมตีที่อยู่เบื้องหลัง Trojan.Zbot ได้ใช้ความพยายามร่วมกันในการกระจายการคุกคามโดยใช้แคมเปญสแปม เนื้อหาสาระแตกต่างกันไปในแต่ละแคมเปญ แต่มักจะเน้นที่เหตุการณ์ปัจจุบันหรือพยายามหลอกลวงผู้ใช้ด้วยอีเมลที่อ้างว่ามาจากสถาบันที่มีชื่อเสียงเช่น FDIC, IRS, MySpace, Facebook หรือ Microsoft
ดาวน์โหลดจากไดรฟ์
ผู้เขียนที่อยู่เบื้องหลัง Trojan.Zbot ยังได้เห็นการใช้ช่องโหว่แพ็คเพื่อกระจายภัยคุกคามผ่านไดรฟ์โดยการโจมตีดาวน์โหลด เมื่อผู้ใช้ที่ไม่สงสัยเข้าเยี่ยมชมหนึ่งในเว็บไซต์เหล่านี้คอมพิวเตอร์ที่มีช่องโหว่จะติดไวรัสจากการคุกคาม
การหาประโยชน์เฉพาะที่ใช้ในการกระจายการคุกคามนั้นแตกต่างกันไปขึ้นอยู่กับการแพร่กระจายและการใช้ประโยชน์จากการหาประโยชน์ที่ง่ายในป่าในเวลาที่โทรจันกระจาย
ตั้งแต่วันที่ 24 กุมภาพันธ์ 2010 เป็นต้นมา Trojan.Zbot ถูกพบโดยใช้ช่องโหว่ดังต่อไปนี้:
- AOL วิทยุ AmpX ActiveX Control 'ConvertFile ()' ช่องโหว่บัฟเฟอร์ล้น (BID 35028)
- ช่องโหว่การเรียกใช้โค้ดส่วนหัวของไลบรารี Microsoft Active เทมเพลตข้อมูลระยะไกล (BID 35558)
- จุดอ่อนในการติดตั้งไฟล์ ADOD ของ Microsoft Internet Explorer Microsoft Object จุดอ่อน (BID 10514)
- Snapshot Viewer สำหรับการดาวน์โหลด Microsoft Access ActiveX Control Arbitrary ไฟล์ดาวน์โหลดช่องโหว่ (BID 30114)
- Adobe Reader 'util.printf ()' ฟังก์ชั่น JavaScript ช่องโหว่บัฟเฟอร์ล้นล้น (BID 30035)
- Adobe Acrobat และ Reader Collab 'getIcon ()' วิธีการ JavaScript รหัสระยะไกลช่องโหว่การเรียกใช้โค้ด (BID 34169)
- Adobe Reader และ Acrobat (CVE-2009-2994) ช่องโหว่บัฟเฟอร์ล้นของ U3D 'CLODMeshDeclaration' (BID 36689)
- Adobe Acrobat และ Reader การใช้รหัสโดยอำเภอใจและช่องโหว่ด้านความปลอดภัย (BID 27641)
แหล่งที่มารายละเอียดทางเทคนิค Trojan.Zbot