处理 Trojan-Spy.Win32.ZBot.a 病毒感染

Question

Trojan-Spy.Win32.ZBot.a的感染机制是什么？

用户点击电子邮件中的链接进入受感染的网页（社会工程学）。
浏览受感染网站的用户（驱动下载）。

技术细节

预防和避免

可以采取以下措施来避免或尽量减少此威胁的风险。

用户行为及注意事项

Trojan.Zbot 严重依赖社会工程学来感染计算机。攻击者使用的垃圾邮件活动试图通过引用最新新闻报道来欺骗用户，利用用户的敏感信息被盗的恐惧心理，暗示有人拍了他们的照片，或使用其他许多诡计。

用户在点击此类电子邮件中的链接时应谨慎。基本检查（例如将鼠标指针悬停在每个链接上）通常可以显示链接指向的位置。用户还可以查看在线网站评级服务（例如 safeweb.norton.com），以查看该网站是否被视为安全访问。

修补操作系统和软件

据了解，此威胁背后的攻击者会利用漏洞包来制作网页，从而利用存在漏洞的计算机并让其感染 Trojan.Zbot。

截至 2010 年 2 月 24 日，Trojan.Zbot 已发现利用以下漏洞：

AOL Radio AmpX ActiveX 控件“ConvertFile()”缓冲区溢出漏洞 (BID 35028)

Microsoft 活动模板库标头数据远程代码执行漏洞 (BID 35558)

Microsoft Internet Explorer ADODB.Stream 对象文件安装漏洞 (BID 10514)

Snapshot Viewer for Microsoft Access ActiveX 控件任意文件下载漏洞 (BID 30114)

Adobe Reader“util.printf()”JavaScript 函数堆栈缓冲区溢出漏洞 (BID 30035)

Adobe Acrobat 和 Reader Collab“getIcon()”JavaScript 方法远程代码执行漏洞 (BID 34169)

Adobe Reader 和 Acrobat (CVE-2009-2994) U3D“CLODMeshDeclaration”缓冲区溢出漏洞 (BID 36689)

Adobe Acrobat 和 Reader 多个任意代码执行和安全漏洞 (BID 27641)

建议用户确保其操作系统和所有已安装的软件都已完全打上补丁，并且防病毒和防火墙软件是最新的且可以运行。用户应在可用时打开自动更新，以便其计算机在有最新补丁和更新时能够收到更新。

...

感染方式

已知该威胁会通过多种方法感染计算机。我们将更详细地介绍每种方法。

垃圾邮件

Trojan.Zbot 背后的攻击者已齐心协力利用垃圾邮件活动来传播其威胁。各个垃圾邮件活动的主题各不相同，但通常都侧重于时事，或试图通过声称来自知名机构（如 FDIC、IRS、MySpace、Facebook 或 Microsoft）的电子邮件来欺骗用户。

驱动下载

有人发现 Trojan.Zbot 的作者使用漏洞包通过驱动下载攻击传播威胁。当不知情的用户访问其中一个网站时，易受攻击的计算机就会感染威胁。

用来传播威胁的特定漏洞各不相同，很大程度上取决于木马分发时野外漏洞的扩散程度和易用性。

截至 2010 年 2 月 24 日，Trojan.Zbot 已发现利用以下漏洞：

AOL Radio AmpX ActiveX 控件“ConvertFile()”缓冲区溢出漏洞 (BID 35028)

Microsoft 活动模板库标头数据远程代码执行漏洞 (BID 35558)

Microsoft Internet Explorer ADODB.Stream 对象文件安装漏洞 (BID 10514)

Snapshot Viewer for Microsoft Access ActiveX 控件任意文件下载漏洞 (BID 30114)

Adobe Reader“util.printf()”JavaScript 函数堆栈缓冲区溢出漏洞 (BID 30035)

Adobe Acrobat 和 Reader Collab“getIcon()”JavaScript 方法远程代码执行漏洞 (BID 34169)

Adobe Reader 和 Acrobat (CVE-2009-2994) U3D“CLODMeshDeclaration”缓冲区溢出漏洞 (BID 36689)

Adobe Acrobat 和 Reader 多个任意代码执行和安全漏洞 (BID 27641)

来源Trojan.Zbot 技术细节

Answer 1

Trojan-Spy.Win32.ZBot.a的感染机制是什么？

用户点击电子邮件中的链接进入受感染的网页（社会工程学）。
浏览受感染网站的用户（驱动下载）。

技术细节

预防和避免

可以采取以下措施来避免或尽量减少此威胁的风险。

用户行为及注意事项

Trojan.Zbot 严重依赖社会工程学来感染计算机。攻击者使用的垃圾邮件活动试图通过引用最新新闻报道来欺骗用户，利用用户的敏感信息被盗的恐惧心理，暗示有人拍了他们的照片，或使用其他许多诡计。

用户在点击此类电子邮件中的链接时应谨慎。基本检查（例如将鼠标指针悬停在每个链接上）通常可以显示链接指向的位置。用户还可以查看在线网站评级服务（例如 safeweb.norton.com），以查看该网站是否被视为安全访问。

修补操作系统和软件

据了解，此威胁背后的攻击者会利用漏洞包来制作网页，从而利用存在漏洞的计算机并让其感染 Trojan.Zbot。

截至 2010 年 2 月 24 日，Trojan.Zbot 已发现利用以下漏洞：

AOL Radio AmpX ActiveX 控件“ConvertFile()”缓冲区溢出漏洞 (BID 35028)

Microsoft 活动模板库标头数据远程代码执行漏洞 (BID 35558)

Microsoft Internet Explorer ADODB.Stream 对象文件安装漏洞 (BID 10514)

Snapshot Viewer for Microsoft Access ActiveX 控件任意文件下载漏洞 (BID 30114)

Adobe Reader“util.printf()”JavaScript 函数堆栈缓冲区溢出漏洞 (BID 30035)

Adobe Acrobat 和 Reader Collab“getIcon()”JavaScript 方法远程代码执行漏洞 (BID 34169)

Adobe Reader 和 Acrobat (CVE-2009-2994) U3D“CLODMeshDeclaration”缓冲区溢出漏洞 (BID 36689)

Adobe Acrobat 和 Reader 多个任意代码执行和安全漏洞 (BID 27641)

建议用户确保其操作系统和所有已安装的软件都已完全打上补丁，并且防病毒和防火墙软件是最新的且可以运行。用户应在可用时打开自动更新，以便其计算机在有最新补丁和更新时能够收到更新。

...

感染方式

已知该威胁会通过多种方法感染计算机。我们将更详细地介绍每种方法。

垃圾邮件

Trojan.Zbot 背后的攻击者已齐心协力利用垃圾邮件活动来传播其威胁。各个垃圾邮件活动的主题各不相同，但通常都侧重于时事，或试图通过声称来自知名机构（如 FDIC、IRS、MySpace、Facebook 或 Microsoft）的电子邮件来欺骗用户。

驱动下载

有人发现 Trojan.Zbot 的作者使用漏洞包通过驱动下载攻击传播威胁。当不知情的用户访问其中一个网站时，易受攻击的计算机就会感染威胁。

用来传播威胁的特定漏洞各不相同，很大程度上取决于木马分发时野外漏洞的扩散程度和易用性。

截至 2010 年 2 月 24 日，Trojan.Zbot 已发现利用以下漏洞：

AOL Radio AmpX ActiveX 控件“ConvertFile()”缓冲区溢出漏洞 (BID 35028)

Microsoft 活动模板库标头数据远程代码执行漏洞 (BID 35558)

Microsoft Internet Explorer ADODB.Stream 对象文件安装漏洞 (BID 10514)

Snapshot Viewer for Microsoft Access ActiveX 控件任意文件下载漏洞 (BID 30114)

Adobe Reader“util.printf()”JavaScript 函数堆栈缓冲区溢出漏洞 (BID 30035)

Adobe Acrobat 和 Reader Collab“getIcon()”JavaScript 方法远程代码执行漏洞 (BID 34169)

Adobe Reader 和 Acrobat (CVE-2009-2994) U3D“CLODMeshDeclaration”缓冲区溢出漏洞 (BID 36689)

Adobe Acrobat 和 Reader 多个任意代码执行和安全漏洞 (BID 27641)

来源Trojan.Zbot 技术细节

处理 Trojan-Spy.Win32.ZBot.a 病毒感染

答案1

Trojan-Spy.Win32.ZBot.a的感染机制是什么？

技术细节

相关内容