Trojan.Zeroaccess.C-把诺顿整得晕头转向的最新病毒资料原创翻译！

尘梦幽然

总结

已发现：

2012 年 8 月 8 日

更新：

2012 年 8 月 9 日 4:41:23 AM

类型：

Trojan

感染长度：

varies

受影响的系统：

Windows 98, Windows 95, Windows XP, Windows Server2008, Windows 7, Windows Me, Windows Vista, Windows NT, Windows Server 2003,Windows 2000

Trojan.Zeroaccess.C是特洛伊木马，它可能会从被攻击的计算机下载更多的恶意软件并窃取机密信息。

病毒防护日期

• 首次快速发布版本2012 年 8 月 8 日 修订版023
  
• 最新快速发布版本2012 年 8 月 10 日 修订版032
  
• 首次每日认证版本2012 年 8 月 8 日 修订版 034
  
• 最新每日认证版本2012 年 8 月 10 日 修订版035
  
• 首次每周认证发布日期2012 年 8 月 15 日
  

有关快速发布版本和每日认证病毒定义的详细说明，请单击此处。

威胁评估

肆虐

• 肆虐级别：Low
  
• 受感染数：0-49
  
• 站点数：0-2
  
• 地理分布：Low
  
• 威胁抑制：Easy
  
• 删除：Difficult
  

损坏

• 损坏级别：Low
• 预设恶意行为：下载更多的恶意软件
• 泄漏隐私：可能会窃取潜在的机密信息
  

分发

• 分发级别：Low
  
• 描述者：Mircea Ciubotariu
  

尘梦幽然

当木马被执行时，它会检测是否被攻击的计算机系统是 32 位或 64 位，并选择适当的预设恶意行为。

然后，它会删除以下文件：

Windows XP或更早版本的操作系统:

• %UserProfile%\Local Settings\Application Data\[UUID]\n
  
• %UserProfile%\Local Settings\Application Data\[UUID]\@
  

Windows Vista或更高版本的操作系统:

• %UserProfile%\AppData\Local\[UUID]\n     
  
• %UserProfile%\AppData\Local\[UUID]\@     
  

所有版本的Windows:

• %Windir%\Installer\[UUID]\n     
  
• %Windir%\Installer\[UUID]\@     
  

它也会创建以下目录：
Windows XP或更早版本操作系统:

• %UserProfile%\Local Settings\Application Data\[UUID]\L
  
• %UserProfile%\Local Settings\Application Data\[UUID]\U
  

Windows Vista或更高版本操作系统:

• %UserProfile%\AppData\Local\[UUID]\L     
  
• %UserProfile%\AppData\Local\[UUID]\U     
  

所有版本的Windows:

• %Windir%\Installer\[UUID]\L     
  
• %Windir%\Installer\[UUID]\U     
  

接下来，它会创建如下注册表键值：
Windows XP或更早版本的操作系统:
HKEY_CLASSES_ROOT\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32\"@"= "%UserProfile%\Local Settings\Application Data\[UUID]\n."

Windows Vista或更高版本的操作系统:
HKEY_CLASSES_ROOT\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32\"@"= "%UserProfile%\AppData\Local\[UUID]\n."

所有版本的Windows:
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32\"@"= "%Windir%\Installer\[UUID]\n."

然后，它将连接到P2P网络，并下载其他威胁模块。

这种木马可能也会执行一个或多个以下的行为：

• 感染 %System%\services.exe (Trojan.Zeroaccess!inf4)
  
• 扫描网络流量以窃取个人隐私
  
• 下载和执行额外的文件
  
• 通过攻击者的指示修改浏览器搜索结果
  
• 模拟点击pay-per-install的链接
  

建议

赛门铁克安全响应中心鼓励所有的用户和管理员能够坚持以下基本安全的"最佳实践"：

• 使用防火墙阻止不应公开提供服务的所有来自互联网的入站连接。默认情况下，您应该拒绝所有入站连接并仅允许您明显地想要连接互联网获取的服务。
  
• 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
  
• 确保程序和计算机的用户完成一项任务所需的最低级别运行权限（并使用最低权限运行程序）。当系统提示您输入 UAC 的密码，确保访问管理员权限要求的程序是合法的应用程序。
  
• 禁用自动播放，防止网络和可移动驱动器上的可执行文件的自动启动，并在不需要时断开连接的驱动器。如果不需要写文件的访问权限，则启用只读模式。
  
• 如果不需要，请关闭文件共享。如果必须使用文件共享，请使用 ACLs     和密码保护来限制访问。禁用允许匿名访问的共享文件夹。只向用户帐户使用强密码共享的文件夹授予访问权限。
  
• 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务。 如果将这些服务删除，混合型威胁的攻击途径会大为减少。
  
• 如果利用漏洞攻击的威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。
  
• 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务。
  
• 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。
  
• 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
  
• 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。
  
• 如果不需要使用移动设备的蓝牙功能，则应将其关闭。如果您需要使用，确保设备的蓝牙设备发现设置为"隐藏"，以便它不能被其它蓝牙设备扫描发现。如果必须使用设备配对，请确保所有设备均都设"未授权"，为每个连接请求需要单独授权。不接受未签名或从未知来源发送的应用程序。
  
• 如果您想获取本文档中采用术语的详细信息和解释，请访问Security Response glossary.
  

描述者: Mircea Ciubotariu

尘梦幽然

您正在浏览这个页面可能是因为您已经收到Symantec产品的警告或者您正在怀疑自己的计算机是否已经感染了这种威胁。

在进行进一步处理之前，我们建议您运行一次全面系统扫描。如果那不能解决问题，您可以尝试以下的一个或多个选项。

给诺顿用户：
如果您是一名诺顿产品用户，我们建议您通过以下资源来删除这个威胁。

删除工具

• 运行Trojan.Zeroaccess专杀 –这个工具仅支持32位操作系统     
  
• 运行Norton Power Eraser (NPE)
  
• Norton Power Eraser无法删除这个威胁
  

如果您的Windows系统文件被感染，请用Windows安装光盘替换它。

如何降低感染的风险
下面的资源提供了进一步的信息和最佳做法来帮助降低感染的风险。

• Operating system updates to fix vulnerabilities
  
• File sharing protection
  
• Disable Autorun (CD/USB)
  
• Best practices for instant messaging
  
• Best practices for browsing the Web
  
• Best practices for email
  

给企业用户
如果您是Symantec企业版产品用户，我们建议您尝试以下资源来删除该威胁。

确定和提交可疑文件
把可疑文件提交到Symantec 可以使我们可以保证我们的保护能力跟上不断变化的威胁。赛门铁克安全响应中心在必要时会更新定义并立即向所有赛门铁克产品端点分发LiveUpdate ™。这可以确保附近的其他计算机不受攻击。以下资源可帮助识别可疑文件并提交给Symantec。

• Locate a sample of a threat
  
• Submit a suspicious file to Symantec
  

删除工具

• Run     the Trojan.Zeroaccess removal tool – 该工具仅支持32位操作系统。
  
• Run     the Symantec Power Eraser with the Symantec Endpoint Protection Support     Tool
  
• Symantec     Power Eraser Overview
  
• Symantec     Power Eraser User Guide
  

如果您的Windows系统文件被感染，请用Windows安装光盘替换它。


如何降低感染的风险
下面的资源提供了进一步的信息和最佳做法来帮助降低感染的风险。

Protectingyour business network

手动删除
以下说明适用于当前的赛门铁克产品。

1. 运行全面系统扫描
Howto run a full system scan using your Symantec product


2. 还原注册表设置
许多风险修改注册表，从而可能影响被攻击的计算机的功能或性能。虽然很多这些修改可以通过各种Windows 组件恢复，但它可能需要编辑注册表。在这篇有关技术细节的创建或修改注册表的信息，请参阅并删除由风险创建的注册表子项和条目并返回到其以前的值的所有已修改的注册表项。

3. 在Windows XP中通过Windows修复控制台还原已被检测的系统文件

由于这种威胁修改或替换系统文件，它是需要使用 Windows 恢复控制台恢复受影响的文件。这样做是必须重新启动计算机并运行 Windows 故障恢复控制台。有关如何执行此请参阅 Microsoft 知识库文章：How to install and use theRecovery Console in Windows XP.

• Windows XP 安装光盘插入 CD-ROM 驱动器中。
  
• 从 CD-ROM 驱动器重新启动计算机。
  
• 出现"欢迎使用安装程序"屏幕时，按 R 键启动故障恢复控制台。
  
• 选择您想要从故障恢复控制台访问的安装。
  
• 输入管理员密码，然后按 Enter。
  
• 要还原文件被检测为 Trojan.Zeroaccess!inf,     Trojan.Zeroaccess!inf2,     或 Trojan.Zeroaccess!inf3,     键入以下命令，每行命令后按 enter 键：
  
  
  
  
  
  
    
  • cd      %System%\drivers [SYS FILES]
      
  • expand      [CD/DVD DRIVE]:\i386\[DETECTED FILE NAME].[dl or sy]_
    
  例如:
        cd c:\windows\system32\drivers
        expand d:\i386\atapi.sy_
  
  
• 对于每个受影响的SYS或DLL文件，重复上述步骤。
  
• 键入exit.
  
• 按 enter 键。计算机将立即重新启动自动。
  

4. 在Windows Viata/7中通过系统恢复选项还原被检测的系统文件

由于这种威胁修改或替换系统文件，它是要恢复受影响的文件，使用系统恢复选项。这样做是有必要重新启动计算机并运行系统恢复选项。这样做是有必要重新启动计算机并运行系统恢复选项。有关如何执行此请读取的全部详细信息请阅读 Whatare the system recovery options in Windows Vista 或 Whatare the system recovery options in Windows 7.

1.  重新启动计算机。

2.  当计算机重新启动时，重复按 f8 键，直到出现高级启动选项屏幕。

3.  选择修复您的计算机，然后按 enter 键。

4.  选择的键盘输入的方法，然后单击下一步。

5.  选择管理员帐户，输入您的密码，并单击确定。

6.  在系统恢复选项菜单中，单击命令提示符。

7.  要还原文件被检测为 Trojan.Zeroaccess!inf,Trojan.Zeroaccess!inf2,或Trojan.Zeroaccess!inf3, 键入以下命令，每行命令后按 enter 键：
给使用Windows Vista/7 光盘或修复光盘的用户：
将磁盘插入 CD/DVD 驱动器

o   cd %System%\drivers [SYS FILES]

o   expand [CD/DVD DRIVE]:\Windows\[DETECTED FILE NAME].[dl or sy]_

例如:
cd c:\windows\system32\drivers
expand d:\Windows\serial.sy_

给那些有恢复分区的用户
请参阅您的计算机制造商的文档以确定备份系统文件的位置。

o   cd %System%\drivers [SYS FILES]

o   expand [DRIVE LETTER]:\[SYSTEM FILES FOLDER]\[DETECTED FILE NAME].[dl orsy]_

例如:
cd c:\windows\system32\drivers
expand f:\Windows\serial.sy_

8.  对于每个受影响的SYS或DLL文件，重复上述步骤。

9.  关闭命令提示符窗口。

10.点击在System Recovery Options菜单中的“重启”按钮.计算机将立即重新启动

描述者: Mircea Ciubotariu

尘梦幽然

1.本篇翻译依照赛门铁克中国官方的病毒资料翻译格式（例子：http://www.symantec.com/zh/cn/se ... 2004-072615-3527-99）翻译这次最新截获的Trojan.Zeroaccess.C病毒，所有资料来自：http://www.symantec.com/security ... 2012-080900-3758-99
2.关于Trojan.Zeroaccess!inf4，请参见：http://www.symantec.com/security ... 2012-080901-4610-99，由于其是Trojan.Zeroaccess.C的衍生物，内容和本文几乎一致，故不再翻译。
3.关于这次的Zeroaccess对诺顿的影响有多大，请参见http://bbs.kafan.cn/thread-1350152-1-1.html的6L。
4.采用领先的Bing翻译引擎和本人人工翻译相结合，保障翻译内容歧义少，符合大家的阅读习惯。
5.赛门铁克对于每一个家族的病毒都有建立如此详细的知识库，可见其大厂风范。而360和金山云更是经常直接报Trojan.Generic，无法分类。所以本文采用赛门铁克的病毒资料库，以期展示一个真实的Zeroaccess属性。
6.赛门铁克比较乐观，虽然诺顿社区显示数千人感染了这种病毒，但是资料库的感染台数依然是“0-49”。。。我表示无力吐槽。。。
7.求大牛们帮忙看看，Payload一词到底怎么翻译啊？我表示高中水平压力很大。。。（有出现"Payload"单词的部分都在文中标了醒目的红色，望大家多多指教！）

a256886572008

註冊 CLSID 自啟動，這個動作，SONAR 不攔截？

不是新建註冊表，而是透過修改舊的註冊表，讓自己的dll 和 系統原本的dll 一起加載。

消停

够辛苦的了！不知道现在SONAR是否对于此类样本有更好的防御效果。

尘梦幽然

a256886572008 发表于 2012-8-12 10:33
註冊 CLSID 自啟動，這個動作，SONAR 不攔截？

据ZeroAccess的更新历史来看，可以说是专门针对诺顿进行了免杀。
诺顿的SONAR有反应但是已经无法回滚被感染的系统文件。

a256886572008

尘梦幽然 发表于 2012-8-12 10:46
据ZeroAccess的更新历史来看，可以说是专门针对诺顿进行了免杀，SONAR全程一点反应都没有。

5樓有寫出重要行為。

應該建議官方，讓 SONAR 保護 existed CLSID 註冊表 不被改。

尘梦幽然

a256886572008 发表于 2012-8-12 10:49
5樓有寫出重要行為。

應該建議官方，讓 SONAR 保護 existed CLSID 註冊表 不被改。

诺顿美国论坛正在处理此事。他们应该也会考虑到的。但是SONAR作为基于多步行为分析的主防，提行为特征需要一定量的样本支持，所以现在处理比较缓慢。

XMonster

微点拦截这类都很轻松…