Behandeln Sie eine Virusinfektion durch Trojan-Spy.Win32.ZBot.a

548
Leonardo Urbano

Seit einigen Tagen habe ich eine Aufforderung aus meinem KIS 2016, dass er diesen Trojaner in MEM gefunden hat. Ich versuche den PC zu säubern und neu zu starten, alles läuft gut, aber nach einiger Zeit erscheint diese Meldung erneut. Ich habe versucht, den ZBotKiller von der Kaspersky-Website herunterzuladen, aber er findet nichts (vielleicht, weil mein Antivirus das Objekt bereits gesäubert hat). Meine Frage ist, wie kann ich verstehen, auf welche Weise es infiziert wird und der Hintergrund erneut läuft. Ich möchte dieses Problem logisch von der Quelle lösen! Vielleicht habe ich einen offenen Port in meiner Firewall? Ich bin kein Neuling und hatte noch nie ein solches Problem.

PS Computerleistungen sind hervorragend und ich merke nichts Merkwürdiges (wie Anzeigen, Popups usw.). Mein Hauptanliegen sind sensible Daten, die in meinem PC gespeichert sind.

PPS Ich klicke weder auf Spam- noch auf Phishing-Mails und habe auch keine seltsamen Dateien heruntergeladen.

1

1 Antwort auf die Frage

0
DavidPostill

Was ist der Infektionsmechanismus von Trojan-Spy.Win32.ZBot.a?

  • Benutzer, die auf Links in E-Mails klicken, die zu infizierten Webseiten führen ( Social Engineering ).
  • Benutzer, die eine infizierte Website besuchen ( Drive-by-Download ).

Technische Details

PRÄVENTION UND VERMEIDUNG

Mit den folgenden Maßnahmen können Sie das Risiko dieser Bedrohung vermeiden oder minimieren.

Benutzerverhalten und Vorsichtsmaßnahmen

Trojan.Zbot ist stark auf Social Engineering angewiesen, um Computer zu infizieren. Die von Angreifern verwendeten Spam-E-Mail-Kampagnen versuchen, den Benutzer zu täuschen, indem sie auf die neuesten Nachrichten verweisen und Ängste vorspielen, deren vertrauliche Informationen gestohlen wurden, was darauf hindeutet, dass kompromittierende Fotos von ihnen oder einer Reihe anderer Schwachstellen aufgenommen wurden.

Benutzer sollten beim Klicken auf Links in solchen E-Mails vorsichtig sein. Grundlegende Überprüfungen wie das Bewegen mit dem Mauszeiger über jedem Link zeigen normalerweise, wohin der Link führt. Benutzer können auch Online-Website-Bewertungsdienste wie safeweb.norton.com überprüfen, um festzustellen, ob die Website als sicher eingestuft wird.

Patch-Betriebssystem und Software

Es ist bekannt, dass die Angreifer hinter dieser Bedrohung Exploit-Packs einsetzen, um Webseiten zu erstellen, die verwundbare Computer ausnutzen und mit Trojan.Zbot infizieren.

Seit dem 24. Februar 2010 wurde Trojan.Zbot mit den folgenden Sicherheitsanfälligkeiten gesehen:

  • AOL Radio AmpX ActiveX Control - Sicherheitsanfälligkeit im Pufferüberlauf durch ConvertFile () (BID 35028)
  • Sicherheitsanfälligkeit in Microsoft Active Template Library Header bezüglich Remotecodeausführung (BID 35558)
  • Fehler bei der Installation von Microsoft Internet Explorer-ADODB.Stream-Objektdateien (BID 10514)
  • Snapshot Viewer für Sicherheitsanfälligkeit beim Download von ActiveX-Steuerelementen in Microsoft Access (BID 30114)
  • Sicherheitsanfälligkeit bezüglich Pufferüberlaufs beim JavaScript-Funktionsstapel durch JavaScript (BID 30035)
  • 'Acrobat und Reader Collab' getIcon () 'Sicherheitsanfälligkeit in JavaScript bezüglich Remotecodeausführung (BID 34169)
  • Adobe Reader und Acrobat (CVE-2009-2994) Sicherheitsanfälligkeit durch Pufferüberlauf in U3D 'CLODMeshDeclaration' (BID 36689)
  • Adobe Acrobat und Reader - Sicherheitsanfälligkeit durch mehrfachen willkürlichen Code (BID 27641)

Benutzern wird empfohlen, sicherzustellen, dass das Betriebssystem und die installierte Software vollständig gepatcht sind und dass die Antiviren- und Firewall-Software auf dem neuesten Stand und betriebsbereit ist. Benutzer sollten automatische Updates aktivieren, sofern verfügbar, damit ihre Computer die neuesten Patches und Updates erhalten können, sobald sie verfügbar sind.

...

INFEKTIONSMETHODE

Es ist bekannt, dass diese Bedrohung Computer mit einer Reihe von Methoden infiziert. Wir werden jede dieser Methoden genauer untersuchen.

Spam-E-Mails

Die Angreifer hinter Trojan.Zbot haben sich bemüht, ihre Bedrohung mithilfe von Spam-Kampagnen zu verbreiten. Das Material variiert von Kampagne zu Kampagne, konzentriert sich jedoch häufig auf aktuelle Ereignisse oder versucht, den Benutzer mit E-Mails aus bekannten Institutionen wie FDIC, IRS, MySpace, Facebook oder Microsoft zu täuschen.

Drive-by-Downloads

Die Autoren von Trojan.Zbot haben ebenfalls Zeuge von Exploit-Packs, um die Bedrohung durch Drive-by-Download-Angriffe zu verbreiten. Wenn ein ahnungsloser Benutzer eine dieser Websites besucht, wird ein anfälliger Computer mit der Bedrohung infiziert.

Die zur Ausbreitung der Bedrohung verwendeten speziellen Exploits variieren stark und hängen weitgehend von der Verbreitung und Benutzerfreundlichkeit der Exploits ab, die zum Zeitpunkt der Verbreitung des Trojaners in freier Wildbahn verfügbar waren.

Seit dem 24. Februar 2010 wurde Trojan.Zbot mit den folgenden Sicherheitsanfälligkeiten gesehen:

  • AOL Radio AmpX ActiveX Control - Sicherheitsanfälligkeit im Pufferüberlauf durch ConvertFile () (BID 35028)
  • Sicherheitsanfälligkeit in Microsoft Active Template Library Header bezüglich Remotecodeausführung (BID 35558)
  • Fehler bei der Installation von Microsoft Internet Explorer-ADODB.Stream-Objektdateien (BID 10514)
  • Snapshot Viewer für Sicherheitsanfälligkeit beim Download von ActiveX-Steuerelementen in Microsoft Access (BID 30114)
  • Sicherheitsanfälligkeit bezüglich Pufferüberlaufs beim JavaScript-Funktionsstapel durch JavaScript (BID 30035)
  • 'Acrobat und Reader Collab' getIcon () 'Sicherheitsanfälligkeit in JavaScript bezüglich Remotecodeausführung (BID 34169)
  • Adobe Reader und Acrobat (CVE-2009-2994) Sicherheitsanfälligkeit durch Pufferüberlauf in U3D 'CLODMeshDeclaration' (BID 36689)
  • Adobe Acrobat und Reader - Sicherheitsanfälligkeit durch mehrfachen willkürlichen Code (BID 27641)

Quelle Trojan.Zbot Technische Daten

Danke für die Antwort. Ich bekomme Tonnen von Spam, aber ich klicke niemals darauf oder lade noch etwas von diesen Links herunter! Leonardo Urbano vor 9 Jahren 0
@LeonardoUrbano Es könnte sich auch um eine infizierte Website handeln. Siehe aktualisierte Antwort. DavidPostill vor 9 Jahren 0
Ich habe gesehen .. Ich benutze meinen PC nur zum Schreiben von C ++ / MQL-Codes und zum Surfen auf (immer) denselben Websites, um Fußballnachrichten zu erhalten .. Nicht mehr! Außerdem hatte ich immer ein Antivirus-Programm in meinem PC (ich bin KIS aufgrund seiner Qualität und Leistung treu) und kann daher nicht herausfinden, wie dies möglich ist. Aus diesen Gründen habe ich geschrieben, um eine "rohere" Methode zu haben, um zu überprüfen, ob etwas wirklich seltsames Verhalten in meinem PC vorliegt. Leonardo Urbano vor 9 Jahren 0
Es spielt keine Rolle, wie Sie infiziert wurden. Überprüfen Sie [Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?] (Http://superuser.com/q/100360), um andere Möglichkeiten zur Bereinigung Ihres PCs zu finden, wenn er wiederkommt. DavidPostill vor 9 Jahren 0
Ich tat ... meine Neugierde darauf, warum es mich dazu bringt, etwas zu reinigen, das bereits gereinigt wurde. Ich habe gelesen, was der Kerl argumentierte und sagte, es sei unmöglich, eine Infektion vollständig zu säubern, und ich wollte, wenn möglich, eine technischere Antwort haben. :) Leonardo Urbano vor 9 Jahren 0
Ich antwortete so gut ich konnte ... DavidPostill vor 9 Jahren 0
Verstehe mich nicht falsch! Ihre Antwort war sehr ausführlich und ich weiß Ihre Erklärungen wirklich zu schätzen! Ich habe mich bei der Formulierung der Hauptfrage schlecht geäußert, es ist meine Schuld! Leonardo Urbano vor 9 Jahren 0

Verwandte Probleme