賽門鐵克(Symantec)安全回應中心持續追蹤的木馬程式Trojan.Zbot,會試圖從使用者電腦竊取私人資料;近期該木馬又出現新變種。此外賽門鐵克安全回應中心近期也偵測到一種新蠕蟲W32.Ramnit,它能夠感染使用者電腦系統中的.exe、.dll和.html文件。

Trojan.Zbot木馬程式執行後會首先把自身複製到系統目錄下並偽裝成一個正常檔案,然後添加登錄表 (registry key)以達到開機自動執行的目的。此後,該木馬會釋放加密的設定檔,並且收集受害使用者電腦的操作系統版本、語言種類等資訊。

Trojan.Zbot還會刪除使用者電腦上的Cookies資訊,使得使用者在造訪銀行網站時必須重新輸入密碼。接下來,該木馬將惡意程式碼植入到除CSRSS.EXE以外的所有process。這些惡意程式碼會掛鉤許多與網路操作相關的函數來監控網路資料,以達到盜取使用者金融卡、信用卡資訊、電子郵件密碼等個人資訊的目的。竊取到的資訊會先儲存在本地,隨後發送到設定檔裡所指定的地址。

W32.Ramnit則是將自身加密之後,附加到目的檔案中,當被感染的檔案運作時,該蠕蟲會被釋放到目前的目錄並被命名為[InfectedFilename]Srv.exe,然後執行。同時在%\ProgramFiles%\目錄下增加一個MNetwork目錄。感染該病毒的電腦會試圖連接到網站rmnz[removed]ed.com,從該網站下載.dll檔註冊到系統中。

該病毒主要透過行動儲存裝置進行傳播。傳播時,它會把自己複製到移動存放裝置根目錄下面的Recycle Bin目錄中,同時新增autorun檔以達到自動啟動的目的。

安全專家建議,除使用網路防火牆、安全軟體之外,網友在使用行動儲存裝置前先應先使用安全軟體進行掃描,確認安全後再打開。

via 新木馬程式、蠕蟲出沒 PC防護措施要做好.