~~ Un outil de désinfection pour les ordinateurs infectés par ZBot ~~

Un outil de désinfection pour les ordinateurs infectés par ZBot
15 septembre 2010

Un utilitaire gratuit pour désinfecter les ordinateurs attaqués par le Cheval de Troie

ZBot (aussi connu sous le nom de Zeus, ZeusBot ou WSNPoem) est un Cheval de Troie conçu pour voler des données sensibles sur des ordinateurs infectés. Bien que ZBot se concentre principalement sur le vol de données bancaires, que les utilisateurs fournissent sur les pages de leurs organismes financiers, il peut aussi récupérer des informations sur le système d’exploitation et d’autres données d’authentification. Les dernières variantes de ZBot permettent aussi d’obtenir des informations sur l’historique de navigation Internet et diverses informations fournies par l’utilisateur sur Internet, tout en prenant des captures d’écran du bureau Windows.

Zbot se propage principalement via des campagnes de spams et des pages Web qui hébergent des programmes malveillants, généralement sous la forme d’applications connues et à priori légitimes.

Une fois au sein du système de l’utilisateur, Zbot modifie la structure des fichiers et dossiers, ajoute des clés de registre, injecte du code dans plusieurs processus (tels que winlogon.exe ou svchost.exe) et ajoute des exceptions au pare-feu Microsoft® Windows®, ouvrant notamment des portes dérobées. Il envoie également des informations personnelles et écoute plusieurs ports de l’ordinateur en attente d’éventuels « ordres » envoyés à distance de la part du pirate. Cela permet aux cybercriminels de contrôler ce Cheval de Troie et de télécharger et exécuter d’autres charges malveillantes ou de prendre le contrôle du système, ce qui inclus entre autres la possibilité d’éteindre ou de redémarrer l'ordinateur infecté.

Pour une description technique détaillée de Zbot, vous pouvez consulter l’encyclopédie BitDefender des virus.

Dans le cadre de ses efforts continus pour informer, éduquer et aider les utilisateurs dans le monde entier dans la lutte contre les e-menaces, BitDefender a développé un outil de désinfection de Zbot. L'outil analyse l’ordinateur, détecte et élimine la plupart des variantes Zbot repérées à ce jour. Il est téléchargeable gratuitement dans la section Outils de suppression de Malwarecity.fr.

Toutefois, Zbot est l'un des types les plus prolifiques de malware et de nouvelles variantes apparaissent chaque jour. Ainsi, nous conseillons vivement aux utilisateurs de revenir régulièrement sur notre page de désinfection de Zbot pour télécharger de nouvelles mises à jour de cet outil. Les utilisateurs des suites de sécurité antimalware BitDefender sont déjà protégés contre ce type d’attaque.

La description technique et l'outil de désinfection cités dans cet article sont fournis par Bogdan Timofte, Chercheurs de Menaces en Ligne dans les Laboratoires BitDefender.

Source : MalwareCity.FR

ZBot se propage via des documents scannés

10 février 2011
Quatre vulnérabilités PDF sont exploitées dans une nouvelle campagne de spam de Zbot.

Vous utilisez sans doute régulièrement une imprimante à votre travail. Mais saviez-vous que certaines imprimantes pouvaient envoyer par e-mail des documents scannés ? Cette fonction a retenu l’attention des cybercriminels, qui ont trouvé le moyen de l’utiliser à des fins malveillantes.

Voici comment cela se passe : les auteurs de malwares utilisent le modèle d’e-mail propriétaire des imprimantes et des scanners professionnels pour diffuser du spam. Plus précisément, ils « diffusent » des e-mails présentés comme étant des documents scannés envoyés par un scanner Xerox® WorkCentre Pro et contenant une pièce jointe infectée se faisant passer pour un inoffensif fichier PDF.

L’e-mail ressemble à ceci :
La pièce jointe cache bien son jeu. Ce document censé avoir été scanné par une imprimante Xerox WorkCentre Pro est en fait un fichier PDF malformé exploitant quatre anciennes vulnérabilités d’Adobe® Acrobat Reader® : Collab.collectEmailInfo (CVE-2007-5659), Utilprintf (CVE-2008-2992), Collab.getIcon (CVE-2009-0927) et mediaNewplayer (CVE-2009-4324), principalement liées à l’exécution de code à distance.

Le fichier PDF malformé a une nouvelle mission ces jours-ci : diffuser Zbot.

Un petit rappel du mode opératoire de ZBot : également appelé Zeus, ZeusBot ou WSNPoem, ce cheval de Troie est conçu pour dérober des informations sensibles. Il modifie certains processus et ajoute des exceptions au Pare-Feu Microsoft® Windows® afin de disposer à la fois des capacités d’un backdoor et d’un serveur. ZBot transmet des données critiques recueillies sur l’ordinateur compromis, et surveille certains « ports » pour recevoir d’autres commandes des attaquants distants.

Les dernières variantes sont également capables de dérober des informations bancaires, des données de connexion, l’historique des sites Web consultés et d’autres données saisies par l’utilisateur, ainsi que d’effectuer des captures d’écran du bureau de la machine compromise.

Les personnes qui ne sont pas protégées par un logiciel BitDefender peuvent utiliser gratuitement notre outil de désinfection du malware ZBot qui vérifie si les ordinateurs des utilisateurs sont infectés, détecte et élimine la plupart des variantes de ZBot en circulation.Il peut être téléchargé et utilisé gratuitement dans la section « Removal Tools » de Malwarecity.fr.

Source : Malware City