Zbot est un virus qui sévit depuis plusieurs années sur la toile. Très répandus, les cybercriminels se servent de se virus pour identifier et dérober vos données bancaires et autres données personnelles et sensibles (numéros de téléphones, emails, adresses) qui pourraient être stockées dans votre ordinateur afin de les revendre. A cause de ce mode opératoire on dit que Zbot fait partie des Stealer.
Zbot se propage principalement depuis 3 manières :
- Via des failles (exploit en anglais) sur certains sites internet.
- Via emails, par exemple des mails de fausses mises à jour de Microsoft.
- Via le téléchargement de cracks, hacks, serial et compagnie.
Au cours des dernières années Zbot a joué au chat et la souris avec les différents anti-virus. Le malware a ainsi constamment évolué pour tenté de passer inaperçu. Zbot utilisent notamment des technologies d’auto-défense qui lui permet de dissimuler les fichiers exécutables et les processus qui sont actifs sur l’ordinateur d’une personne infectée. C’est pourquoi il est important d’avoir un anti-virus à jour et plus particulièrement un comme Malwarebytes AntiMalware (version gratuite ou non) spécialiste de ce genre d’infection.
Principaux symptômes d’infections par Zbot
Un ou plusieurs fichiers peuvent apparaitre dans les dossiers system32 et AppData :
- ntos.exe
- twex.exe
- twext.exe
- oembios.exe
- sdra64.exe
- lowsec\\local.ds
- lowsec\\user.ds
Les dossiers system32 et AppData sont des dossiers système de Windows. En fonction de la version de Windows système d’exploitation installée, l’emplacement de ces dossiers peut changer, vous pouvez les trouver :
- Sous Windows Vista, 7, 8 dans : C:\Windows\System32 et C:\Users\AppData.
- Sous Windows XP dans : C:\Windows\system32 et C:\Documents et Settings\Application Data.
Des entrée mentionnant les fichiers suspects mentionnés ci-dessus peuvent être également présent dans la base de registre :
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Notez que Zbot est détecté par les anti-virus suivants :
| Antivirus | Résultat | Mise à jour |
|---|---|---|
| AVG | SHeur4.CBDY | 20140911 |
| Avast | Win32:Malware-gen | 20140911 |
| Avira | TR/Dropper.VB.18366 | 20140911 |
| BitDefender | Trojan.GenericKD.1830414 | 20140911 |
| ESET-NOD32 | Win32/Injector.BKYU | 20140911 |
| Emsisoft | Trojan.GenericKD.1830414 (B) | 20140911 |
| Kaspersky | Trojan.Win32.Cutwail.dyi | 20140911 |
| Malwarebytes | Spyware.Zbot.ED | 20140911 |
| McAfee | Dropper-FLO!9B163B3286C0 | 20140911 |
| Microsoft | TrojanDownloader:Win32/Dofoil.T | 20140911 |
| Panda | Trj/CI.A | 20140911 |
| Sophos | Troj/VBdrop-BG | 20140911 |
| Symantec | Trojan.Smoaler | 20140911 |
| TrendMicro | TROJ_DOFOIL.WYTD | 20140911 |