|
源由:
TSPY_ZBOT 是趋势科技对该恶意程序的识别名称,业界称它为 ZeuS Bot 网络。其实,ZeuS Bot 网络是一群网络上感染 ZeuS/ZBOT 木马程序的计算机简称。TSPY_ZBOT 变种通常透过看似来自正常来源的垃圾邮件散播,并且会要求使用者点选某个连结。这类恶意连结会下载 TSPY_ZBOT 恶意程序,该程序会静静地躲在系统内,等候使用者连上某些特定网站并输入登入账号密码。
趋势科技从 2007 年开始监视 ZBOT 家族,几年下来 ZBOT 变种的数量已经相当惊人, 截至目前为止,趋势科技已经发现 2,000 多个 ZBOT 变种,而且数量还在增加。
背景资料 ZeuS、ZBOT 和 Kneber 之间有何不同?
这几个名称都与 ZeuS Bot 网络相关,此一颇具规模的犯罪用 Bot 网络,据说也是许多在外活动的 Bot 网络幕后的影武者。最早利用 ZeuS 木马程序从事不法活动的是恶名昭彰的Rock Phish 帮,这帮歹徒最有名的就是他们的网络钓鱼网页工具非常容易使用。只要是与此大型 Bot 网络相关的恶意程序,趋势科技都使用 ZBOT 这个名字来称呼。至于 Kneber Bot 网络则是最出现的一个新名称,专指某一次 ZBOT/ZeuS 攻击事件。
此威胁如何进入使用者的系统?
使用者通常透过垃圾邮件感染这项威胁,或者是误触已遭入侵的网站而下载到此恶意程序。目前发现的 ZBOT 变种,绝大多数都是专门攻击银行相关网站。不过,最近的几波垃圾邮件在攻击目标上也开始出现多样化的现象。ZBOT 较为知名的一些变种包括:专门对政府机关散发垃圾邮件的 TROJ_ZBOT.SVR、专门攻击 AIM 使用者的 TSPY_ZBOT.JF、专门攻击 Facebook 社交网站的 TSPY_ZBOT.CCB。
此恶意程序如何诱骗使用者点选恶意连结?
其垃圾邮件通常会假冒成来自合法企业的邮件,最近更假冒政府机关。此外,ZBOT 变种也曾经利用一些热门的新闻事件来散发垃圾邮件,例如 Michael Jackson 的死讯。
ZeuS Bot 网络成立的主要目的为何?
这些恶意程序是专门为窃取数据或账号而设计,例如:网络银行、社交网站、电子商务网站等等。
此恶意程序如何让歹徒赚取金钱?
此程序会产生一串银行相关网站或金融机构清单,这些就是它要窃取使用者名称和密码等敏感数据的目标。接着,它会监视使用者的浏览器活动 (HTTP 和 HTTPS 联机),从浏览器窗口标题或网址列的 URL 来判断是否发动攻击。这项行为会让使用者的账户数据有外泄的风险,而被窃取的资料则会用于不法活动。
谁是潜在目标?
凡是感染 ZBOT 恶意程序的使用者,只要一登入歹徒锁定的网站,就有让网络犯罪者拦劫到个人信息的危险。
恶意程序搜集信息之后会做什么?
它会利用 HTTP POST 指令将搜集到的信息传送到远程的某个网址。这样就能让网络犯罪者利用这些信息来从事不法活动,例如将信息拿到地下市场贩卖。
为何此恶意程序不容易根除?
除了擅于使用社交工程手法并不断翻新垃圾邮件技巧之外,ZBOT 还拥有不易被发现的 Rootkit 技术。当 ZBOT 在自我安装时,会建立一个具备系统和隐藏属性的数据夹,以免被使用者发现而遭到删除。此外,ZBOT 还会关闭 Windows 防火墙,并且将自己注入其它处理程序内,以常驻在内存。同时,当它发现某些已知的防火墙软件在执行时,会将自己关闭。还有,ZBOT 变种的下载过程还会运用到其它恶意程序家族,例如 WALEDAC 和 FAKEAV。
那么,我要如何保护我的计算机以免感染 ZeuS Bot 网络?
最重要的是,使用者在开启任何电子邮件或点选任何 URL 时都要小心谨慎。由于 ZBOT 恶意程序的作者随时都在寻找新的攻击方法,使用者应该养成良好的计算机习惯。
此外也应小心防范假冒合法网站的网络钓鱼网页,这些网页专门诱骗警觉性不足的使用者输入个人信息。点选来自熟人的电子邮件内所附的网址,是最容易遭到 ZBOT 攻击的方式之一。
趋势科技的 GeneriClean 功能现在已能清除 TSPY_ZBOT 恶意程序,此功能已内建在大多数趋势科技产品当中。使用者必须使用手动扫瞄来启用这项功能。有关 GenClean 的信息,请参考下列网址:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=TSC_GENCLEAN
凡是以趋势科技云安全技术( Smart Protection Network™) 为基础的解决方案,都能透过电子邮件信誉评等技术拦截此 Bot 网络的电子邮件。也能藉由档案信誉评等技术侦测并防止相关恶意档案执行。更能利用网页信誉评等技术预防使用者误触专门散播 ZBOT 变种的网站,并且防止恶意程序向总部回报 (phone home),进而传送窃取的数据,或从幕后操纵服务器下载新的恶意程序。
非趋势科技产品的使用者也可利用免费的 HouseCall
工具来侦测并移除已感染系统中的所有已知病毒、木马程序、蠕虫、不要的浏览器外挂程序,以及其它恶意程序。另外,也可利用 Web Protection 外挂程序来主动防范网页相关威胁和 Bot 活动,不仅如此,还有可用来判断计算机是否已成为 Bot 网络成员的 RUBotted 程序。
我们的行为模式分析技术所侦测到的此家族成员有:MAL_ZBOT、MAL_ZBOT-2、MAL_ZBOT-3、MAL_ZBOT-4、MAL_ZBOT-5、MAL_ZBOT-6 以及 MAL_ZBOT-7。以下是一些最近较为知名的 ZBOT 变种。
| 
发表于 2010-3-9 11:32:53
楼主
