病毒名称：Win32.Zbot.WY
疯狂性：低
破坏性：低
普及度：低 

病毒描述  
  
Win32/Zbot.WY 属于Zbot/Kollah病毒家族，它会尝试从被感染机器上盗窃敏感信息，还会连接C&C 服务器。 

感染方式  
  
运行时，Win32/Zbot.WY生成以下文件：
%system%\sdra64.exe   
 
生成的文件比原始的EXE文件多添加几个字节，避免安全软件扫描检测。
 
Win32/Zbot.WY 生成一个隐藏目录：
%system%\lowsec
 
并在这个目录中生成以下文件：
local.ds
user.ds
user.ds.111
 
特洛伊将盗窃/下载的信息保存在这些配置文件中。
 
病毒还会生成以下注册表键值：
使防火墙失效：
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile,"EnableFirewall","0"
 
系统启动时运行病毒文件：
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, %system%\userinit.exe, "%system%\sdra64.exe”
 
监控以下键值，维持加载病毒状态：
HKLM\SYSTEM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network","UID","<MachineName-%RandomNumber%">"
 
使代理失效：
HKEY_USERS,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings","ProxyEnable","0"
 
此外，Win32/Zbot.WY 将代码注入到"WINLOGON.EXE"程序中。
 
注：%System %是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。Windows2000/NT中默认的安装路径是C:\Winnt\System32，windows95/98/me中默认的安装路径是C:\Windows\System，windowsXP和Vista中默认的安装路径是C:\Windows\System32。
 

危    害  
  
特洛伊尝试连接到navigate777.net/images999/con79.bin，这个域与'Kneber Botnet’有关。当前的navigate777.net是干净的，病毒从上面请求的文件已经被删除。
 
特洛伊使防火墙失效，盗窃经济数据，下载一些带有后门功能的程序，允许远程用户登录被感染系统。病毒将一些加密的数据发送到navigate777.net。
 

检测/清除  
  
KILL防病毒软件最新版本可检测/清除此病毒。
 
 

建   议  
  
不要随意运行exe文件；
系统设置强壮的管理员口令。
关于此病毒的详细资料请查看以下站点：
http://www.kill.com.cn/vir/muma/low/5972.asp

“KILL”提示大家：  
  
1，不要随意运行邮件的附件，尤其是英文邮件。

2，最好及时升级病毒代码库。

3，建议企业级用户使用网关型产品。

4，关闭共享目录并为管理员帐户设置强口令，不要将管理员口令设置为空或过于简单的密码。

而对于已感染该蠕虫的计算机则可应用“KILL防病毒软件最新版本可检测/清除此病毒”。

有关该病毒的详细信息也可拨打“KILL”服务热线4006789101寻求帮助。当您发现有可疑文件时，可以到以下站点提交：http://www.kill.com.cn/product/vir_sample/index.asp ，我们会及时进行处理。

文章如转载，请注明转载自：http://www.5iadmin.com/post/361.html