Вредоносные программы семейства Trojan-Spy.Win32.Zbot

Вредоносные программы семейства Trojan-Spy.Win32.Zbot: описание и методы удаления

Троянские программы семейства Trojan-Spy.Win32.Zbot используются злоумышленниками для кражи с компьютеров пользователей различной банковской информации. Как правило, работа таких вредоносных программ не сопровождается какими-либо визуальными эффектами и это значительно усложняет ее обнаружение на компьютере-жертве, который не защищен антивирусной программой. Более того, с целью самозащиты программы этого семейства используют технологии rootkit, позволяющие им скрывать наличие своих исполняемых файлов и процессов.

Единственной мерой предотвращения проникновения вредоносных программ семейства Trojan-Spy.Win32.Zbot на ваш компьютер является установка на него антивирусной программы и регулярное обновление антивирусных баз, чтобы Антивирус «знал» о появлении новых модификаций этой троянской программы. В частности, продукты Лаборатории Касперского помогут вам предотвратить заражение всеми известными модификациями программы Trojan-Spy.Win32.Zbot и, при необходимости, удалить все следы заражения из системы.

Если же вы не используете антивирусную программу, то настоятельно рекомендуем вам перед совершением банковских операций через интернет проверить компьютер на наличие модификаций программы Trojan-Spy.Win32.Zbot при помощи специальной утилиты ZbotKiller. И, в случае обнаружения, пролечить зараженную систему.

1. Основные признаки заражения
В папках %windir%\system32 и %AppData% появляются файлы (один или несколько):
ntos.exe
twex.exe
twext.exe
oembios.exe
sdra64.exe
lowsec\\local.ds
lowsec\\user.ds

%windir%\system32 и %AppData% это системные папки операционной системы Microsoft Windows.
В зависимости от того, какая именно версия ОС установлена на вашем компьютере, путь к этим папкам меняется.

Например, на ОС Windows Vista полные пути к этим папкам: C:\Windows\System32 и C:\Users\<имя_профиля>\AppData. А на ОС Windows XP Professional: C:\WINDOWS\system32 и C:\Documents and Settings\<имя_профиля>\Application Data.

Ссылки на указанные выше подозрительные файлы появляются в следующих ключах системного реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

2. Способы лечения зараженных систем
Лечение систем, зараженных вредоносными программами семейства Trojan-Spy.Win32.Zbot, производится с помощью утилиты ZbotKiller.exe. В ходе своей работы утилита:

Проводит быстрое сканирование системы на наличие заражения.
Находит и удаляет вредоносный код известных модификаций Trojan-Spy.Win32.Zbot, распространившийся в другие запущенные на компьютере программы.
Устраняет функциональность вредоносных программ, которая используется для сокрытия вредоносных файлов и процессов (rootkit).
Удаляет вредоносные файлы и очищает системный реестр от активности троянских программ Trojan-Spy.Win32.Zbot.
Запуск утилиты ZbotKiller.exe можно производить непосредственно на зараженном компьютере или централизованно, если в сети развернут комплекс Kaspersky Administration Kit.

Локально
Скачайте файл ZbotKiller.exe. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista

Запустите файл ZbotKiller.exe на зараженной (или потенциально зараженной) машине.

По окончании сканирования на компьютере возможно присутствие активного окна командной строки, ожидающего нажатия любой клавиши на клавиатуре для закрытия. Для автоматического закрытия окна рекомендуем запускать утилиту ZbotKiller.exe с ключом -y.

Дождитесь окончания сканирования и лечения. Перезагрузка компьютера после лечения не требуется.

Удаленно
Скачайте файл ZbotKiller.exe. Информацию о том, как скачать файл, вы можете найти на следующих страницах.
Для пользователей ОС Windows 8
Для пользователей ОС Windows 7
Для пользователей ОС Windows Vista

В консоли Kaspersky Administration Kit 8.0 / Kaspersky Security Center 10 создайте инсталляционный пакет для утилиты ZbotKiller.exe . На этапе выбора дистрибутива утилиты выберите Создать инсталляционный пакет для приложения, указанного пользователем.

В поле Параметры запуска исполняемого файла укажите ключ -y для автоматического закрытия окна консоли после того, как утилита отработает.

На основе этого инсталляционного пакета создайте групповую или глобальную задачу удаленной установки для зараженных или подозрительных компьютеров сети. Вы можете запустить утилиту ZbotKiller.exe на всех компьютерах вашей сети.
Запустите задачу на выполнение. Перезагрузка компьютера после его лечения с помощью утилиты ZbotKiller.exe не требуется.

3. Ключи для запуска утилиты ZbotKiller из командной строки
-y – не ждать нажатия любой клавиши по окончании работы утилиты.
-s – «тихий» режим (без консольного (черного) окна).
-l <имя файла> – запись информации в файл.
-v – ведение расширенного отчета (необходимо вводить вместе с параметром -l).
-help – получение списка допустимых параметров.

Например, для сканирования компьютера с записью подробного отчета в файл report.txt (который создастся в папке, где находится утилита ZbotKiller.exe) используйте следующую команду:

zbotkiller.exe -y -l report.txt -v

Благодаря использованию параметра -y по окончании работы утилиты не появится активное окно командной строки, ожидающее нажатия любой клавиши для закрытия.