Что такое механизм заражения Trojan-Spy.Win32.ZBot.a?
- Пользователи, нажимающие на ссылки в электронных письмах, которые переходят на зараженные веб-страницы (социальная инженерия).
- Пользователи, просматривающие зараженный веб-сайт (загрузка с диска).
Технические детали
ПРОФИЛАКТИКА И ИЗБЕЖАНИЕ
Следующие действия могут быть предприняты, чтобы избежать или минимизировать риск от этой угрозы.
Поведение пользователя и меры предосторожности
Trojan.Zbot сильно зависит от социальной инженерии для заражения компьютеров. Кампании по рассылке спама по электронной почте, используемые злоумышленниками, пытаются обмануть пользователя, ссылаясь на последние новости, играя на страхах, что их конфиденциальная информация была украдена, предполагая, что с них были сделаны компрометирующие фотографии или любое другое количество уловок.
Пользователи должны соблюдать осторожность при переходе по ссылкам в таких письмах. Базовые проверки, такие как наведение курсора мыши на каждую ссылку, обычно показывают, куда ведет ссылка. Пользователи также могут проверить сервисы онлайн-рейтинга сайтов, такие как safeweb.norton.com, чтобы узнать, считается ли сайт безопасным для посещения.
Патч операционной системы и программного обеспечения
Известно, что злоумышленники, стоящие за этой угрозой, используют пакеты эксплойтов, чтобы создавать веб-страницы для эксплуатации уязвимых компьютеров и заражать их троянскими программами.Zbot.
По состоянию на 24 февраля 2010 года, троян.Zbot был замечен с использованием следующих уязвимостей:
- Уязвимость элемента управления ActiveX AOL Radio AmpX 'ConvertFile()', приводящая к переполнению буфера (BID 35028)
- Уязвимость заголовка Библиотеки активных шаблонов Microsoft, делающая возможным удаленное выполнение кода (BID 35558)
- Microsoft Internet Explorer Слабость установки файла объекта ADODB.Stream (BID 10514)
- Уязвимость средства просмотра снимков для Microsoft Access ActiveX, связанной с загрузкой произвольного файла (BID 30114)
- Уязвимость Adobe Reader 'util.printf ()', связанная с переполнением буфера стека функций JavaScript (BID 30035)
- Adobe Acrobat и Reader Collab 'getIcon ()' Метод JavaScript Уязвимость удаленного выполнения кода (BID 34169)
- Adobe Reader и Acrobat (CVE-2009-2994) Уязвимость U3D, связанная с переполнением буфера в CLODMeshDeclaration (BID 36689)
- Уязвимости в Adobe Acrobat и Reader, связанные с выполнением нескольких произвольных кодов и защитой (BID 27641)
Пользователям рекомендуется убедиться, что их операционные системы и любое установленное программное обеспечение полностью исправлены, а антивирусное программное обеспечение и брандмауэр обновлены и работают. Пользователи должны включить автоматические обновления, если они доступны, чтобы их компьютеры могли получать последние исправления и обновления, когда они становятся доступны.
...
ИНФЕКЦИОННЫЙ МЕТОД
Известно, что эта угроза заражает компьютеры несколькими способами.
Мы рассмотрим каждый из этих методов более подробно.
Спам
Злоумышленники за трояном.Zbot приложили согласованные усилия для распространения своей угрозы с помощью спам-кампаний. Тематические материалы варьируются от одной кампании к другой, но часто фокусируются на текущих событиях или попытках обмануть пользователя электронными сообщениями, предназначенными для таких известных учреждений, как FDIC, IRS, MySpace, Facebook или Microsoft.
Драйв-загрузки
Авторы за трояном.Zbot также был свидетелем использования пакетов эксплойтов для распространения угрозы с помощью атак с диска за загрузку. Когда ничего не подозревающий пользователь посещает один из этих веб-сайтов, уязвимый компьютер заражается этой угрозой.
Конкретные эксплойты, используемые для распространения угрозы, варьируются, в основном, в зависимости от распространения и простоты использования эксплойтов, доступных в дикой природе во время распространения трояна.
По состоянию на 24 февраля 2010 года, троян.Zbot был замечен с использованием следующих уязвимостей:
- Уязвимость элемента управления ActiveX AOL Radio AmpX 'ConvertFile()', приводящая к переполнению буфера (BID 35028)
- Уязвимость заголовка Библиотеки активных шаблонов Microsoft, делающая возможным удаленное выполнение кода (BID 35558)
- Microsoft Internet Explorer Слабость установки файла объекта ADODB.Stream (BID 10514)
- Уязвимость средства просмотра снимков для Microsoft Access ActiveX, связанной с загрузкой произвольного файла (BID 30114)
- Уязвимость Adobe Reader 'util.printf ()', связанная с переполнением буфера стека функций JavaScript (BID 30035)
- Adobe Acrobat и Reader Collab 'getIcon ()' Метод JavaScript Уязвимость удаленного выполнения кода (BID 34169)
- Adobe Reader и Acrobat (CVE-2009-2994) Уязвимость U3D, связанная с переполнением буфера в CLODMeshDeclaration (BID 36689)
- Уязвимости в Adobe Acrobat и Reader, связанные с выполнением нескольких произвольных кодов и защитой (BID 27641)
Исходный троян.Zbot Технические детали