ZBOT или самораспространяющаяся зараза

Кто сказал, что нельзя обучить старый зловред новым трюкам? Недавно было обнаружено, что новый образец ZBOT стал самораспространяться.

Данный вариант ZBOT получается через вредоностный PDF файл, замаскированный под документ счёта продаж. Если пользователь открывает этот файл, используя Adobe Reader, он запускает эксплоит, который вызывает следующие всплывающие окна:

В этот момент ZBOT (WORM_ZBOT.GJ) внедряется в систему и запускается. На этом этапе появляются различия.

Прежде всего, WORM_ZBOT.GJ имеет автообновление: он может загрузить и запустить обновлённую копию самого себя. Во-вторых, он может распространяться на другие системы через съёмные носители, такие как USB.

Это делается с помозью функции поиска для съёмных дисков, а затем создаются скрытые папки с копиями внутри этой папки, а ярлык, указывающий на скрытую копию, Zbot.

Этот вид распространения Zbot необычен. Он обычно распространяется через эксплоиты или другие вредоносные вложения. Это лишь говорит о том, что распространения Zbot двигается семимильными шагами.

На данный момент известно, что защищать от таких вирусов умеет Лаборатория Каспорского и Trend Micro.