Virus W32/Zbot.gen.a

[xanhxao]

Virus W32/Zbot.gen.a

Là virus lây file. Mức độ nguy hiểm !
(Là tập tin “Keygen” của UtrISO 9.36.2750 ( lây nhiễm), sau khi giải nén bằng Winrar được 2 tập tin: Keygen (bình thường) + 123.exe (lây nhiễm).

Tham khảo thêm tại:
http://www.threatexpert.com/report.a...e15009688cbdcc

virusvn

[Tuanloc]

Quote:

Nguyên văn bởi xanhxao

Virus W32/Zbot.gen.a

Là virus lây file. Mức độ nguy hiểm !
(Là tập tin “Keygen” của UtrISO 9.36.2750 ( lây nhiễm), sau khi giải nén bằng Winrar được 2 tập tin: Keygen (bình thường) + 123.exe (lây nhiễm).

Tham khảo thêm tại:
http://www.threatexpert.com/report.a...e15009688cbdcc

virusvn

Hiện nay virus W32/Zbot.gen.a có vô số các biến thể. Nghe nói có 1 nhóm người chuyên pack dòng virus này.
Dòng này ko có lây file đâu xanhxao trừ khi nó bị nhiễm dòng lây file trước đó.

[bolzano_1989]

Zbot và SpyEye đều không lây file.

[xanhxao]

Máy bị nhiễm lây file, quét bằng Mcafee báo tất cả file EXE bị lây nhiễm bởi Virus W32/Zbot.gen.a.
Sau khi kiểm tra lại tôi xác định được nguồn gốc từ đó ra.
(Sau khi clean tất cả, mạng vẫn Up và Down liên tục, dùng các phần mềm quét virus như Mca, Nod, Mbam, D32 đều không phát hiện được gì. Kiểm tra 1 số tập tin EXE thấy to hơn vài lần có lẽ do đã clean nhiều lần. Đành phải cài lại !)

[bolzano_1989]

Hi xanhxao, với mình, những nhận dạng generic chỉ có giá trị tham khảo thôi.
Nếu bạn để ý trong kết quả VirusTotal sẽ thấy không ít hãng nhận dạng mẫu này là Trojan.Patched mặc dù các hãng này đều có writeup trong virus list nhận dạng Zbot với tên Zbot:
http://www.virustotal.com/analisis/c...d96-1267250520

AntiVir 8.2.1.176 2010.02.26 TR/Patched.IL.33
BitDefender 7.2 2010.02.27 Trojan.Patched.FI
CAT-QuickHeal 10.00 2010.02.27 Trojan.Patched.AM
Comodo 4079 2010.02.27 TrojWare.Win32.Patched.O
eSafe 7.0.17.0 2010.02.25 Win32.Patched.Fi
F-Secure 9.0.15370.0 2010.02.27 Trojan.Patched.FI
Fortinet 4.0.14.0 2010.02.26 W32/Patched.IL!tr
GData 19 2010.02.27 Trojan.Patched.FI
Kaspersky 7.0.0.125 2010.02.27 Trojan.Win32.Patched.il
McAfee-GW-Edition 6.8.5 2010.02.27 Trojan.Patched.IL.33
Panda 10.0.2.2 2010.02.26 W32/Patched.L
PCTools 7.0.3.5 2010.02.26 Trojan.Downexec
Sophos 4.50.0 2010.02.27 Mal/Nyrate-B
Symantec 20091.2.0.41 2010.02.27 Trojan.Downexec.G!inf
TrendMicro 9.120.0.1004 2010.02.27 PE_ZBOT.A
VBA32 3.12.12.2 2010.02.26 Trojan.Win32.Patched.il

Theo mình đây là 1 biến thể mới của 1 dòng lây file cũ lợi dụng hiện tượng Zbot/Zeus : cố tình đặt tên file giống cách đặt tên file của Zbot/Zeus nhằm đánh lừa heuristic scanning của không ít Antivirus => Antivirus diệt không hiệu quả/triệt để biến thể mới này.

Một vài ví dụ tương tự:
Virut và Zbot : http://www.threatexpert.com/report.a...56095f94368754
Sality và Zbot : http://www.threatexpert.com/report.a...fb8d6c9508e79c