zeus病毒应急响应

2024-09-04 06:44
文章标签 响应 病毒 应急 zeus

本文主要是介绍zeus病毒应急响应,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

目录

    • 介绍
    • 步骤

介绍

Zeus病毒,也叫Zbot病毒,是一种具有高潜伏性的木马病毒,受影响系统为微软Windows,主要被用来盗窃用户银行信息。

Zeus最早于2007年被发现,当时它被用来盗取美国某公司的资料信息。到2009年,Zeus病毒进入全面爆发阶段。据统计,单单在美国,就有超过三百六十万的主机在2009年感染Zeus。保守估计,至少造成了七千万美元的损失。

Zeus早已形成了一个规模庞大的僵尸网络。由于Zeus具备抗检测、高潜伏能力,目前还没有哪一个杀毒软件能够绝对根除所有变种的Zeus。

感染Zeus病毒的主机,其账户密码等重要信息是没有保障的,随时都可能外泄。特别是企业用户,涉及到银行、金融相关的业务,往往意味着重大的财产损失,后果也是难以估量的。

Zeus除了窃取账户,还会将恶意代码注入到大多数当前运行的进程中,做了大量的进程钩子,给系统运行的安全性和稳定性带来隐患。

当然,感染Zeus也可能发生次生灾害,譬如有些Zeus变种会传播勒索病毒,导致本地重要文件被加密,也有些变种会破坏一些重要文件,甚至结合其它家族的病毒发生组合性的攻击行为。

Zeus变种很多,通常运行起来之后,常见的释放路径如下(释放自身文件):

C:\Windows\system32\ntos.exe

或者:

C:\Windows\system32\oembios.exe

C:\Windows\system32\twext.exe

C:\Windows\system32\sdra64.exe

C:\Windows\system32[随机].exe

此外,会创建文件夹名字如wsnpoem、sysproc64、twain_32、lowsec

System32相应文件夹可能有audio.dll、video.dll等文件

Application Data相应文件夹是对应的数据文件

步骤

打开桌面的Wireshark工具,开启抓包,点击打开桌面的zeus病毒程序
在这里插入图片描述

可以看到抓取了DNS解析,解析了floranimal.ru。后续的数据包请求了http://floranimal.ru/articles/mashrooms/zh/cfg.bin这个文件,是一个恶意文件
在这里插入图片描述
在这里插入图片描述

运行输入regedit打开注册表,在HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\userinit项目存在可疑程序ntos.exe
在这里插入图片描述

可疑程序在C:\WINDOWS\system32C:\Documents and Settings\Administrator\Application Data目录下
进一步查看,可以在C:\WINDOWS\system32找到ntos.exe
在这里插入图片描述

点击工具 > 选项 > 查看,将隐藏受保护的操作系统文件取消勾选
在这里插入图片描述

可以在C:\Documents and Settings\Administrator\Application Data看到一个隐藏文件夹wsnpoem,其中存放的是对应的数据文件
在这里插入图片描述
在这里插入图片描述

C:\WINDOWS\system32也可以看到隐藏文件夹
在这里插入图片描述

可以看到ntos.exentdll.dll的创建和修改时间一致
在这里插入图片描述

在这里插入图片描述

这篇关于zeus病毒应急响应的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1135287

相关文章

深入理解RxJava:响应式编程的现代方式

在当今的软件开发世界中,异步编程和事件驱动的架构变得越来越重要。RxJava,作为响应式编程(Reactive Programming)的一个流行库,为Java和Android开发者提供了一种强大的方式来处理异步任务和事件流。本文将深入探讨RxJava的核心概念、优势以及如何在实际项目中应用它。 文章目录 💯 什么是RxJava?💯 响应式编程的优势💯 RxJava的核心概念

简单的角色响应鼠标而移动

actor类 //处理移动距离,核心是找到角色坐标在世界坐标的向量的投影(x,y,z),然后在世界坐标中合成,此CC是在地面行走,所以Y轴投影始终置为0; using UnityEngine; using System.Collections; public class actor : MonoBehaviour { public float speed=0.1f; CharacterCo

Win8下如何快速查找和删除电脑中的病毒

Win8系统如何查找和删除病毒?检查你的电脑是否存在病毒的一种快速方法是使用 Windows Defender. 此恶意软件防护随 Windows 提供,可帮助识别和删除病毒、间谍软件和其他恶意软件。   注意:如果你使用的是 Windows RT,则 Windows Defender 会始终启用,并且不能关闭。   如果你使用的是 Windows 8,则可以根据自己的喜好运行由其他

解决解压缩时的错误提示 “无法成功完成操作, 因为文件包含病毒或者潜在垃圾文件“

近期, 有一些朋友反馈在解压zip压缩包, 或者在安装软件的过程中出现了下面的错误提示: "无法成功完成操作, 因为文件包含病毒或者潜在垃圾文件" "Operation did not complete successfully because the file contains a virus or potentially unwanted software" 上述错误一般

《响应式 Web 设计:纯 HTML 和 CSS 的实现技巧》

一、引言 在当今数字化时代,人们使用各种不同的设备访问网页,包括台式电脑、笔记本电脑、平板电脑和智能手机等。为了确保网页在不同设备上都能提供良好的用户体验,响应式 Web 设计变得至关重要。响应式 Web 设计是一种能够根据设备屏幕大小和分辨率自动调整布局和样式的设计方法。本文将深入探讨如何使用纯 HTML 和 CSS 实现响应式 Web 设计,分享一些实用的技巧和最佳实践。 二、响应

vue3 响应式 API:shallowRef()和shallowReactive()

shallowRef() shallowRef()是一个用于创建浅层响应式引用的函数。它创建一个响应式数据,但只对顶层属性进行响应式处理。 特点: 只跟踪引用值的变化,不关心值内部的属性变化。 <template><div>{{ shallowRefObj }}</div><button @click="changeShallowRefObj">直接修改shallowRefObj</butt

70%的人都答错了的面试题,vue3的ref是如何实现响应式的?

本文将通过debug的方式带你搞清楚当ref接收的是对象和原始类型时,分别是如何实现响应式的。注:本文中使用的vue版本为3.4.19。 看个demo 还是老套路,我们来搞个demo,index.vue文件代码如下: <template><div><p>count的值为:{{ count }}</p><p>user.count的值为:{{ user.count }}</p><bu

el-table使用#header自定义表头后脱离响应式问题处理

问题描述:当titleList的值进行筛选改变的时候#header里面的的数据并没有实时响应,如下面的代码 <el-table :data="newData" border style="width: 100%"><el-table-columnv-for="(day, index) in titleList" :key="day.date"width="600"align="center">

网络安全应急响应技术原理与应用

网络安全应急响应概述 概念 为应对网络安全事件,相关人员或组织机构对网络安全事件进行监测、预警、分析、响应和恢复等工作 网络安全应急响应组织建立与工作机制 网络安全应急响应预案内容与类型 常见网络安全应急事件场景与处理流程 应急演练:对假定网络安全事件进行模拟响应,确认应急响应工作机制及应急预案的有效性 网络安全应急响应技术与常见工具 网络安全应急响

4--SpringBootWeb-请求响应

目录 postman 1.简单参数 请求参数名与形参变量名一致时 请求参数名与形参变量名不一致时 2.实体参数 简单实体对象 复杂实体对象 3.数组集合参数 数组 集合 4.日期参数 5.JSON参数 6.路径参数 1 2 postman Postman值一款功能强大的网页调试与发送网页HTTP请求的Chrome插件 作用:常用于进行接口测试 1.