間諜軟件
Trojan-Spy.Win32.Zbot.k
捕獲時間
2010-3-11
危害等級
中
病毒癥狀
該樣本是使用“VC ”編寫的間諜軟件�����,由微點主動防御軟件自動捕獲��,長度為“90�����,112字節”,圖標為“
”��,病毒擴展名為“exe”����,主要通過“文件捆綁”���、“下載器下載”�、“網頁掛馬”、“郵件”等方式傳播���,病毒主要目的為盜取用戶信息。
用戶中毒后�,會出現CPU占用率高�����,網絡運行緩慢,系統無故報錯���,用戶信息網絡帳戶密碼信息被泄漏等現象。
感染對象
Windows 2000/Windows XP/Windows 2003/Windows Vista
傳播途徑
網頁掛馬��、文件捆綁���、下載器下載
防范措施
已安裝使用微點主動防御軟件的用戶���,無須任何設置��,微點主動防御將自動保護您的系統免受該病毒的入侵和破壞�。無論您是否已經升級到最新版本,微點主動防御都能夠有效清除該病毒。如果您沒有將微點主動防御軟件升級到最新版��,微點主動防御軟件在發現該病毒后將報警提示您發現“未知木馬“�����,請直接選擇刪除處理(如圖1)�����;
圖1 微點主動防御軟件自動捕獲未知病毒(未升級)
如果您已經將微點主動防御軟件升級到最新版本�����,微點將報警提示您發現木馬"Trojan-Spy.Win32.Zbot.k”�����,請直接選擇刪除(如圖2)。
圖2 微點主動防御軟件升級后截獲已知病毒
未安裝微點主動防御軟件的手動解決辦法:
1��、手動刪除以下文件:
%system32%\sdra64.exe
%System32%\lowsec\user.ds
%System32%\lowsec\local.ds
2�����、手動修復以下注冊表值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
去掉數據值后面追加的病毒路徑
變量聲明:
%SystemDriver% 系統所在分區�����,通常為“C:\”
%SystemRoot% WINDODWS所在目錄,通常為“C:\Windows”
%Documents and Settings% 用戶文檔目錄�,通常為“C:\Documents and Settings”
%Temp% 臨時文件夾����,通常為“C:\Documents and Settings\當前用戶名稱\Local Settings\Temp”
%ProgramFiles% 系統程序默認安裝目錄���,通常為:“C:\ProgramFiles”
病毒分析
(1)解密自身數據��,動態加載系統庫,獲取所需函數��,提升自身權限�����,收集用戶計算機信息,創建名為“_AVIRA_21099”的互斥體�����,防止多次重復運行
(2)創建進程快照查找“outpost.exe”����,“zlclient.exe”安全軟件進程 如果存在則運行相關代碼試圖躲避查殺。
(3)獲取自身完整路徑�����,比較自身是否為%system32%\sdra64.exe�。如果是則檢查自身信息是否完整�����。
(4)如果不是則打開注冊表將自身追加到到注冊表“userinit.exe”之后啟動�����。并將自身拷貝到%system32%\sdra64.exe,并在該文件尾部隨機添加大垃圾數據�,試圖躲過查殺����。獲取系統文件ntdll.dll時間屬性����,并將sdra64.exe設置成該時間屬性以及系統隱藏只讀屬性。
(5)遍歷進程,查找并獲取winlogon.exe、SVCHOST.EXE��、EXPLORER.EXE進程的完整路徑等信息�,判斷是否為所需進程,如果是則向目標進程寫入病毒代碼,創建遠程線程,以保護自身文件及注冊表信息不被刪除。
(6)創建文件%System32%\lowsec\user.ds,%System32%\lowsec\local.ds以記錄病毒配置以及獲取到的信息。
(7)刪除本地cookie保證用戶登陸時重新輸入賬戶密碼���,控制用戶網絡,截獲用戶網絡數據包,剪切板內容���,比對數據內容截取用戶信息。
病毒創建文件:
%system32%\sdra64.exe
%System32%\lowsec\user.ds
%System32%\lowsec\local.ds
病毒修改注冊表:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
原數據:"C:\WINDOWS\system32\userinit.exe"
新數據:"C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe"
