ZBOT zararlısı kendi kendini yaymaya başladı

Facebook’tan yayılan ZBOT zararlısının yeni bir versiyonu yayılıyor. Ancak bu versiyon kendi kendini yayma özelliğine sahip.

Konumuz olan ZBOT, fatura kılığında bir PDF ile geliyor. Adobe Reader ile açıldığında aşağıdaki pencereyi açan bir zayıf noktayı tetikliyor.

zbot1

 

Siz bu mesajı görürken, ZBOT varyantı WORM_ZBOT.A, sisteminize girip çalışıyor. Bu noktada bazı hareketler başlıyor. ZBOT.A, kendini güncelleme özelliğine sahip. İnternet üzerinden kendini güncelliyor ve kopyalıyor. Ayrıca kendini taşınabilir medya üzerine kopyalayıp yayabiliyor.

Bunu da sisteme bağlı bellekleri tarayıp kendine gizli bir dosya yaratarak yapıyor.

worm-zbot-BD-JPEG

 

 

ZBOT.A’ın yayılma şeması

zbot-code

 

ZBOT’un saydığımı bu davranışları hiç de alışılmış değil. Genelde kendini başka kitler içine gömüp yayan ZBIT’un keni başına hareket eder olması  beklediğimiz davarnış  tarzına uymuyor. Bunun anlamı, önümüzdeki dönemde ZBOT yayılımında ciddi bir artış olacağı.

ZBOT’un yeni hali tam da bizim 2013 yılı beklentilerimizde bahsettiğimiz tabloya uyuyor. Eski zararlılar, yeni yöntemlerle geri dönüyor.

Trend Micro olarak ZBOT.A’yı yakalayıp yok edebiliyoruz. Ayrıca bu zararlıyı dağıtan siteleri de blokluyoruz.

Bir yanıt yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.