目录
- 介绍
- 步骤
介绍
Zeus病毒,也叫Zbot病毒,是一种具有高潜伏性的木马病毒,受影响系统为微软Windows,主要被用来盗窃用户银行信息。
Zeus最早于2007年被发现,当时它被用来盗取美国某公司的资料信息。到2009年,Zeus病毒进入全面爆发阶段。据统计,单单在美国,就有超过三百六十万的主机在2009年感染Zeus。保守估计,至少造成了七千万美元的损失。
Zeus早已形成了一个规模庞大的僵尸网络。由于Zeus具备抗检测、高潜伏能力,目前还没有哪一个杀毒软件能够绝对根除所有变种的Zeus。
感染Zeus病毒的主机,其账户密码等重要信息是没有保障的,随时都可能外泄。特别是企业用户,涉及到银行、金融相关的业务,往往意味着重大的财产损失,后果也是难以估量的。
Zeus除了窃取账户,还会将恶意代码注入到大多数当前运行的进程中,做了大量的进程钩子,给系统运行的安全性和稳定性带来隐患。
当然,感染Zeus也可能发生次生灾害,譬如有些Zeus变种会传播勒索病毒,导致本地重要文件被加密,也有些变种会破坏一些重要文件,甚至结合其它家族的病毒发生组合性的攻击行为。
Zeus变种很多,通常运行起来之后,常见的释放路径如下(释放自身文件):
C:\Windows\system32\ntos.exe
或者:
C:\Windows\system32\oembios.exe
C:\Windows\system32\twext.exe
C:\Windows\system32\sdra64.exe
C:\Windows\system32[随机].exe
此外,会创建文件夹名字如wsnpoem、sysproc64、twain_32、lowsec
System32相应文件夹可能有audio.dll、video.dll等文件
Application Data相应文件夹是对应的数据文件
步骤
打开桌面的Wireshark工具,开启抓包,点击打开桌面的zeus病毒程序
可以看到抓取了DNS解析,解析了floranimal.ru。后续的数据包请求了http://floranimal.ru/articles/mashrooms/zh/cfg.bin这个文件,是一个恶意文件
运行输入regedit打开注册表,在HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit项目存在可疑程序ntos.exe
可疑程序在C:\WINDOWS\system32和C:\Documents and Settings\Administrator\Application Data目录下
进一步查看,可以在C:\WINDOWS\system32找到ntos.exe
点击工具 > 选项 > 查看,将隐藏受保护的操作系统文件取消勾选
可以在C:\Documents and Settings\Administrator\Application Data看到一个隐藏文件夹wsnpoem,其中存放的是对应的数据文件
再C:\WINDOWS\system32也可以看到隐藏文件夹
可以看到ntos.exe和ntdll.dll的创建和修改时间一致
