Facebook’tan yayılan ZBOT zararlısının yeni bir versiyonu yayılıyor. Ancak bu versiyon kendi kendini yayma özelliğine sahip.

Konumuz olan ZBOT, fatura kılığında bir PDF ile geliyor. Adobe Reader ile açıldığında aşağıdaki pencereyi açan bir zayıf noktayı tetikliyor.

Siz bu mesajı görürken, ZBOT varyantı WORM_ZBOT.A, sisteminize girip çalışıyor. Bu noktada bazı hareketler başlıyor. ZBOT.A, kendini güncelleme özelliğine sahip. İnternet üzerinden kendini güncelliyor ve kopyalıyor. Ayrıca kendini taşınabilir medya üzerine kopyalayıp yayabiliyor.

Bunu da sisteme bağlı bellekleri tarayıp kendine gizli bir dosya yaratarak yapıyor.

ZBOT.A’ın yayılma şeması

ZBOT’un saydığımı bu davranışları hiç de alışılmış değil. Genelde kendini başka kitler içine gömüp yayan ZBIT’un keni başına hareket eder olması  beklediğimiz davarnış  tarzına uymuyor. Bunun anlamı, önümüzdeki dönemde ZBOT yayılımında ciddi bir artış olacağı.

ZBOT’un yeni hali tam da bizim 2013 yılı beklentilerimizde bahsettiğimiz tabloya uyuyor. Eski zararlılar, yeni yöntemlerle geri dönüyor.

Trend Micro olarak ZBOT.A’yı yakalayıp yok edebiliyoruz. Ayrıca bu zararlıyı dağıtan siteleri de blokluyoruz.