จัดการการติดเชื้อไวรัสโดย Trojan-Spy.Win32.ZBot.a [สำเนา]


1

ตั้งแต่สองสามวันฉันได้รับแจ้งจาก KIS 2016 ของฉันโดยบอกว่าเขาพบโทรจันนี้ใน MEM ฉันพยายามทำความสะอาดและรีสตาร์ทพีซีทุกอย่างเป็นไปด้วยดี แต่ในขณะที่ข้อความนี้ปรากฏขึ้นอีกครั้ง ฉันพยายามดาวน์โหลด ZBotKiller จากเว็บไซต์ Kaspersky แต่ไม่พบสิ่งใด (อาจเป็นเพราะโปรแกรมป้องกันไวรัสของฉันได้ล้างวัตถุแล้ว) คำถามของฉันคือฉันจะเข้าใจได้อย่างไรว่ามันติดเชื้อและทำงานพื้นหลังได้อย่างไร ฉันมีเหตุผลต้องการแก้ปัญหานี้จากแหล่งที่มา! บางทีฉันอาจมีพอร์ตเปิดในไฟร์วอลล์ของฉัน ฉันไม่ใช่มือใหม่และฉันไม่เคยมีปัญหาแบบนี้มาก่อน

การแสดงคอมพิวเตอร์ PS นั้นยอดเยี่ยมและฉันไม่สังเกตเห็นสิ่งแปลก ๆ ในพฤติกรรม (เช่นโฆษณาป๊อปอัป ฯลฯ ) ความกังวลหลักของฉันเกี่ยวกับข้อมูลที่เก็บในพีซีของฉัน

PPS ฉันจะไม่คลิกที่จดหมายขยะหรือจดหมายหลอกลวงหรือฉันดาวน์โหลดอะไรแปลก ๆ

คำตอบ:


0

กลไกการติดเชื้อของ Trojan-Spy.Win32.ZBot.a คืออะไร?


รายละเอียดทางเทคนิค

การป้องกันและหลีกเลี่ยง

สามารถดำเนินการดังต่อไปนี้เพื่อหลีกเลี่ยงหรือลดความเสี่ยงจากภัยคุกคามนี้

พฤติกรรมของผู้ใช้และข้อควรระวัง

Trojan.Zbot อาศัยอย่างหนักกับวิศวกรรมทางสังคมเพื่อที่จะทำให้คอมพิวเตอร์ติดเชื้อ แคมเปญอีเมลสแปมที่ผู้โจมตีใช้พยายามหลอกลวงผู้ใช้โดยอ้างอิงถึงข่าวล่าสุดการเล่นโดยกลัวว่าข้อมูลที่ละเอียดอ่อนของพวกเขาถูกขโมยไปแล้วโดยบอกว่าภาพถ่ายเหล่านั้นได้ถูกนำไปใช้หรือรูปอื่นใด

ผู้ใช้ควรใช้ความระมัดระวังเมื่อคลิกลิงค์ในอีเมลดังกล่าว การตรวจสอบขั้นพื้นฐานเช่นการวางเมาส์เหนือตัวชี้เมาส์เหนือแต่ละลิงก์จะแสดงตำแหน่งที่ลิงก์นำไปสู่ ผู้ใช้สามารถตรวจสอบบริการจัดอันดับเว็บไซต์ออนไลน์เช่น safeweb.norton.com เพื่อดูว่าเว็บไซต์นั้นปลอดภัยที่จะเยี่ยมชมหรือไม่

แพทช์ระบบปฏิบัติการและซอฟต์แวร์

ผู้โจมตีที่อยู่เบื้องหลังภัยคุกคามนี้รู้จักใช้ประโยชน์จากช่องโหว่เพื่อจัดทำเว็บเพจเพื่อใช้ประโยชน์จากคอมพิวเตอร์ที่มีช่องโหว่และติดเชื้อด้วย Trojan.Zbot

ตั้งแต่วันที่ 24 กุมภาพันธ์ 2010 เป็นต้นมา Trojan.Zbot ถูกพบโดยใช้ช่องโหว่ดังต่อไปนี้:

  • AOL วิทยุ AmpX ActiveX Control 'ConvertFile ()' ช่องโหว่บัฟเฟอร์ล้น (BID 35028)
  • ช่องโหว่การเรียกใช้โค้ดส่วนหัวของไลบรารี Microsoft Active เทมเพลตข้อมูลระยะไกล (BID 35558)
  • จุดอ่อนในการติดตั้งไฟล์ ADOD ของ Microsoft Internet Explorer Microsoft Object จุดอ่อน (BID 10514)
  • Snapshot Viewer สำหรับการดาวน์โหลด Microsoft Access ActiveX Control Arbitrary ไฟล์ดาวน์โหลดช่องโหว่ (BID 30114)
  • Adobe Reader 'util.printf ()' ฟังก์ชั่น JavaScript ช่องโหว่บัฟเฟอร์ล้นล้น (BID 30035)
  • Adobe Acrobat และ Reader Collab 'getIcon ()' วิธีการ JavaScript รหัสระยะไกลช่องโหว่การเรียกใช้โค้ด (BID 34169)
  • Adobe Reader และ Acrobat (CVE-2009-2994) ช่องโหว่บัฟเฟอร์ล้นของ U3D 'CLODMeshDeclaration' (BID 36689)
  • Adobe Acrobat และ Reader การใช้รหัสโดยอำเภอใจและช่องโหว่ด้านความปลอดภัย (BID 27641)

ผู้ใช้ควรแน่ใจว่าระบบปฏิบัติการและซอฟต์แวร์ที่ติดตั้งใด ๆ ได้รับการติดตั้งอย่างสมบูรณ์และซอฟต์แวร์ป้องกันไวรัสและไฟร์วอลล์เป็นข้อมูลล่าสุดและใช้งานได้ ผู้ใช้ควรเปิดการอัปเดตอัตโนมัติถ้ามีเพื่อให้คอมพิวเตอร์ของพวกเขาสามารถรับแพตช์และการอัพเดทล่าสุดได้เมื่อมีให้

...

วิธีการติดเชื้อ

ภัยคุกคามนี้เป็นที่รู้จักกันว่าทำให้คอมพิวเตอร์ติดเชื้อได้หลายวิธี เราจะตรวจสอบวิธีการเหล่านี้โดยละเอียด

อีเมลขยะ

ผู้โจมตีที่อยู่เบื้องหลัง Trojan.Zbot ได้ใช้ความพยายามร่วมกันในการกระจายการคุกคามโดยใช้แคมเปญสแปม เนื้อหาสาระแตกต่างกันไปในแต่ละแคมเปญ แต่มักจะเน้นที่เหตุการณ์ปัจจุบันหรือพยายามหลอกลวงผู้ใช้ด้วยอีเมลที่อ้างว่ามาจากสถาบันที่มีชื่อเสียงเช่น FDIC, IRS, MySpace, Facebook หรือ Microsoft

ดาวน์โหลดจากไดรฟ์

ผู้เขียนที่อยู่เบื้องหลัง Trojan.Zbot ยังได้เห็นการใช้ช่องโหว่แพ็คเพื่อกระจายภัยคุกคามผ่านไดรฟ์โดยการโจมตีดาวน์โหลด เมื่อผู้ใช้ที่ไม่สงสัยเข้าเยี่ยมชมหนึ่งในเว็บไซต์เหล่านี้คอมพิวเตอร์ที่มีช่องโหว่จะติดไวรัสจากการคุกคาม

การหาประโยชน์เฉพาะที่ใช้ในการกระจายการคุกคามนั้นแตกต่างกันไปขึ้นอยู่กับการแพร่กระจายและการใช้ประโยชน์จากการหาประโยชน์ที่ง่ายในป่าในเวลาที่โทรจันกระจาย

ตั้งแต่วันที่ 24 กุมภาพันธ์ 2010 เป็นต้นมา Trojan.Zbot ถูกพบโดยใช้ช่องโหว่ดังต่อไปนี้:

  • AOL วิทยุ AmpX ActiveX Control 'ConvertFile ()' ช่องโหว่บัฟเฟอร์ล้น (BID 35028)
  • ช่องโหว่การเรียกใช้โค้ดส่วนหัวของไลบรารี Microsoft Active เทมเพลตข้อมูลระยะไกล (BID 35558)
  • จุดอ่อนในการติดตั้งไฟล์ ADOD ของ Microsoft Internet Explorer Microsoft Object จุดอ่อน (BID 10514)
  • Snapshot Viewer สำหรับการดาวน์โหลด Microsoft Access ActiveX Control Arbitrary ไฟล์ดาวน์โหลดช่องโหว่ (BID 30114)
  • Adobe Reader 'util.printf ()' ฟังก์ชั่น JavaScript ช่องโหว่บัฟเฟอร์ล้นล้น (BID 30035)
  • Adobe Acrobat และ Reader Collab 'getIcon ()' วิธีการ JavaScript รหัสระยะไกลช่องโหว่การเรียกใช้โค้ด (BID 34169)
  • Adobe Reader และ Acrobat (CVE-2009-2994) ช่องโหว่บัฟเฟอร์ล้นของ U3D 'CLODMeshDeclaration' (BID 36689)
  • Adobe Acrobat และ Reader การใช้รหัสโดยอำเภอใจและช่องโหว่ด้านความปลอดภัย (BID 27641)

แหล่งที่มารายละเอียดทางเทคนิค Trojan.Zbot


ขอบคุณสำหรับคำตอบ. ฉันได้รับสแปมจำนวนมาก แต่ฉันไม่เคยคลิกเลยหรือแย่กว่านั้นคือดาวน์โหลดบางสิ่งจากลิงค์เหล่านั้นเช่นกัน!
Leonardo Urbano

@LeonardoUrbano นอกจากนี้ยังอาจเป็นเว็บไซต์ที่ติดเชื้อ ดูคำตอบที่อัปเดต
DavidPostill

ฉันเห็น .. ฉันใช้พีซีของฉันเพียงเพื่อเขียนรหัส C ++ / MQL และท่องเว็บไซต์ (เสมอ) เพื่อรับข่าวฟุตบอล .. ไม่มาก! นอกจากนี้ฉันมักจะมีโปรแกรมป้องกันไวรัสในพีซีของฉัน (ฉันมีความภักดีต่อ KIS เนื่องจากคุณภาพและประสิทธิภาพที่มี) และดังนั้นฉันจึงไม่สามารถทราบได้ว่ามันเป็นไปได้อย่างไร ด้วยเหตุผลเหล่านี้ฉันจึงเขียนให้มีวิธี "ดิบ" มากขึ้นในการตรวจสอบว่ามีบางสิ่งที่แปลกจริงๆในพฤติกรรมพีซีของฉัน
Leonardo Urbano

ไม่สำคัญว่าคุณติดเชื้ออย่างไร ตรวจสอบฉันจะลบสปายแวร์มัลแวร์แอดแวร์ไวรัสโทรจันหรือรูทคิทที่เป็นอันตรายออกจากพีซีของฉันได้อย่างไร สำหรับวิธีอื่นในการล้างข้อมูลพีซีของคุณหากยังคงกลับมา
DavidPostill

ฉันทำ .. ฉันเป็นคนอยากรู้อยากเห็นว่าทำไมมันทำให้ฉันพร้อมที่จะทำความสะอาดบางสิ่งที่ได้รับการทำความสะอาดแล้ว ฉันอ่านสิ่งที่ผู้ชายคนนั้นแย้งว่าเป็นไปไม่ได้ที่จะทำความสะอาดเชื้อให้หมดและฉันต้องการคำตอบทางเทคนิคเพิ่มเติมถ้าเป็นไปได้ :)
Leonardo Urbano
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.