2010-08-19
透過網路支付方式盜取資訊
Win32/Spy.Zbot.UN木馬於歐洲肆虐
文: Goofy Ko / 新聞中心
文章索引: IT要聞 軟件 ESET

防毒軟體商 NOD32 日前最新發表木馬報告,報告指目前歐洲地區正流行一個出自僵屍控制組織 Zbot 的一個木馬,主要針對各大金融機構銀行卡、信用卡的網路銀行帳號、及其他一些透過網路支付方式的通行證訊息,用後台加以記錄,且自動連接外部非法伺服器來傳送盜取的資訊,而 NOD32 則把此木馬命名為 Win32/Spy.Zbot.UN 特洛伊木馬。

 

Win32/Spy.Zbot.UN 特洛伊木馬出自著名僵屍控制組織 Zbot ,主要針對網路支付方式的通行證訊息盜取資訊,如果系統不幸此受木馬入侵,系統便會在 system32 下生成 sdra64.exe ,同時生成 lowsec 資料夾,當中並包含 lowsecuser.ds.lll 、 lowsecuser.ds 、 lowseclocal.ds 檔案。

 

此外,木馬會自行在系統內創建或修改下列註冊表,以隨機啟動或創建新的進程﹕
[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ]
" Userinit " = " %system%userinit.exe, %system%sdra64.exe "

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network ]
" UID " = " % 系統 %_% 隨機名稱 % "

[ HKEY_USERS.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{334613DB-50C1-B3BE-95ED-E9915A134FF1} ]
" {3039636B-5F3D-6C64-6675-696870667265} " = % 十六進制數 %

 

同時,會在如 Explorer.exe , winlogon.exe 等進程中創建新的進程運行,進行監控網路資訊的流向、網址重新定向、螢幕擷取,並給遠端電腦發送資訊、下載惡意程序或竊取 windows 剪貼板來複製資訊等,而且還會主動禁用 windows 防火牆,以確保能與非法伺服器的連線通訊正常。

 

雖然不少木馬程式均可以自行手動清除,但據 NOD32 表示,由於此病毒本身採用了 rootkits 隱藏技術, sdra64.exe 和 lowsec 資料夾均是隱藏的,因此需使用防毒軟體掃描並清除病毒, NOD32 建議用戶需要不定時作防毒軟件作出更新,即可將病毒檔案徹底刪除,並隨後以手動方式修復上述行為中所提到的註冊表項修改及防火牆功能,同時亦不要點擊陌生的網路連接,不要輕易下載執行未知安全性的郵件附件等。

 

Eset HQ

分享到:
發表評論
本篇文章被 8939 人閱讀,共有 個評論