病毒名称:Win32.Zbot.WY
疯狂性:低
破坏性:低
普及度:低 

病毒描述  
  
Win32/Zbot.WY 属于Zbot/Kollah病毒家族,它会尝试从被感染机器上盗窃敏感信息,还会连接C&C 服务器。 

感染方式  
  
运行时,Win32/Zbot.WY生成以下文件:
%system%\sdra64.exe   
 
生成的文件比原始的EXE文件多添加几个字节,避免安全软件扫描检测。
 
Win32/Zbot.WY 生成一个隐藏目录:
%system%\lowsec
 
并在这个目录中生成以下文件:
local.ds
user.ds
user.ds.111
 
特洛伊将盗窃/下载的信息保存在这些配置文件中。
 
病毒还会生成以下注册表键值:
使防火墙失效:
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile,"EnableFirewall","0"
 
系统启动时运行病毒文件:
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, %system%\userinit.exe, "%system%\sdra64.exe”
 
监控以下键值,维持加载病毒状态:
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network","UID","<MachineName-%RandomNumber%">"
 
使代理失效:
HKEY_USERS,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","0"
 
此外,Win32/Zbot.WY 将代码注入到"WINLOGON.EXE"程序中。
 
注:%System %是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32,windows95/98/me中默认的安装路径是C:\Windows\System,windowsXP和Vista中默认的安装路径是C:\Windows\System32。
 

危    害  
  
特洛伊尝试连接到navigate777.net/images999/con79.bin,这个域与'Kneber Botnet’有关。当前的navigate777.net是干净的,病毒从上面请求的文件已经被删除。
 
特洛伊使防火墙失效,盗窃经济数据,下载一些带有后门功能的程序,允许远程用户登录被感染系统。病毒将一些加密的数据发送到navigate777.net。
 

检测/清除  
  
KILL防病毒软件最新版本可检测/清除此病毒。
 
 

建   议  
  
不要随意运行exe文件;
系统设置强壮的管理员口令。
关于此病毒的详细资料请查看以下站点:
http://www.kill.com.cn/vir/muma/low/5972.asp

“KILL”提示大家:  
  
1,不要随意运行邮件的附件,尤其是英文邮件。

2,最好及时升级病毒代码库。

3,建议企业级用户使用网关型产品。

4,关闭共享目录并为管理员帐户设置强口令,不要将管理员口令设置为空或过于简单的密码。

而对于已感染该蠕虫的计算机则可应用“KILL防病毒软件最新版本可检测/清除此病毒”。

有关该病毒的详细信息也可拨打“KILL”服务热线4006789101寻求帮助。当您发现有可疑文件时,可以到以下站点提交:http://www.kill.com.cn/product/vir_sample/index.asp ,我们会及时进行处理。

文章如转载,请注明转载自:http://www.5iadmin.com/post/361.html