Remova vírus Trojan Zeus

Neste artigo você vai descobrir como remover o vírus Trojan Zeus e se livrar de arquivos infectados. vírus cavalo de Tróia Zeus está espalhada em grande escala através da RIG Exploit Kit. Essa nova versão é apelidado “chthonic”E que surgiu pela primeira vez um par de anos atrás, quando atingiu 150 bancos de todo o mundo. Essa atividade ainda está em curso, embora o Trojan também é utilizado para a distribuição de ransomware. O malware teve muitos nomes ao longo dos anos, e um muito notável é Zbot.

Antes de revelar o que a vírus Trojan Zeus é, você deve primeiro se familiarizar com o que é um vírus Trojan. Que é uma combinação de termos que são usados ​​para descrever um malware que é tanto uma cavalo de Tróia e uma vírus.

UMA cavalo de Tróia é um pedaço de malware que injeta-se em um dispositivo de computador, sob falsos pretextos, por exemplo, apresentando-se como o famoso Skype programa. Você não será surpreendido ao descobrir que o termo cavalo de Tróia no cálculo vem da antiga história grega de como os soldados gregos furtivamente invadiu Troy, usando um cavalo de madeira gigante, apresentado como um presente. UMA vírus é um programa malicioso que, uma vez executado, vai descaradamente começar a se replicar e infectar outros programas, modificando-los sem a permissão do usuário.

portanto, uma combinação dos dois tipos de software malicioso acima descrito, será um programa malicioso que poderia fazer alguns ou todos os seguintes:

• finge ser um conhecido ou um programa útil, assim você dar-lhe acesso inicial
• utiliza outras táticas stealth para infiltrar-se o seu computador
• modifica / infecta outros programas e processos em seu PC
• se copia em diferentes locais no seu PC

o Vírus Zeus Trojan se espalhou por todo o mundo, e, provavelmente, mais conhecido por entregar o infame CryptoLocker vírus de criptografia. Abaixo você encontrará uma história breve do malware em todas as suas formas, desde a sua primeira aparição ao início 2017.

2007 - ZeuS e sua primeira aparição

O ano 2007 marcou o início da malwares ZeuS que mais tarde se tornou conhecido como o cavalo Zeus Trojan. Naquela época, ele foi usado para roubar informações do Departamento de Transportes dos Estados Unidos. Depois que ele começou ganhando impulso.

2009 - ZeuS se generaliza

No 2009, Zeus generalizou-se pela primeira vez, e foi visto como uma grande ameaça. Ele tinha comprometido ao longo 74.000 contas FTP, em sites de grandes empresas, tais como o Bank of America, NASA, Monster.com, abc, Oráculo, Play.com, Cisco, Amazonas, e BusinessWeek.

2010 - Ameaça ZeuS A Worldwide

2010 foi o ano em que o FBI anunciou que o vírus Zeus foi usado para computadores infecto em todo o globo. Nesta forma, Zeus foi usado principalmente como um Trojan bancário, para roubar informações registrando as teclas digitadas feita ao usar um navegador ou por formulário de grilagem. Além disso, e-mails foram usadas para atingir indivíduos em municípios e empresas, para que ele possa pegar qualquer dado referente a contas bancárias online.

2013 - ZeuS O ajudante CryptoLocker

Atrasado 2011 definir novos patamares para Zeus como ele conduziu o seu código a ser usado para a criação do Gameover ZeuS botnet. O botnet foi menos vulnerável a operações de aplicação da lei, desde que utilizado um sistema peer-to-peer criptografado para se comunicar com sua C2 (Comando&Ao controle) servidores. Banking fraude foi mais uma vez um objetivo primário para o Zeus família de malware. No 2013, tudo se agravou quando Gameover ZeuS foi a responsável pela distribuição de massas de [wplinkpreview url =”https://sensorstechforum.com/remove-cryptolocker-ransomware-virus/”] Vírus CryptoLocker Ransomware ao redor do mundo.

2015 - ZeuS evolui para Chthonic

2015 foi também um ano emblemático para Zeus enquanto evoluiu ainda mais para dentro chthonic – uma nova variante descoberto por investigadores de malware da Kaspersky. A mesma técnica de criptografia é usada por esta variante como o “Zeus V2” e “Zeus AES” Trojans. [wplinkpreview url =”https://sensorstechforum.com/chthonic-a-new-version-of-the-zeus-banking-trojan-hits-150-banks-in-15-countries/”] Chthonic é conhecido por ter atingido mais 150 bancos no 15 países, backup em 2015.

2016 - ZeuS e da Esfinge

em agosto 2015, o código de Zeus foi usada para criar uma variante personalizado para ele, Chamou o [wplinkpreview url =”https://sensorstechforum.com/rio-2016-malware-sphinx-banking-trojan-targets-brazilian-banks/”] “Esfinge Banking Trojan”, vendidos no mercado negro para $500. A rede TOR foi usado por ele, ao máximo. Para o último trimestre de 2016, houve detecções do Trojan, provando que é ainda activa. Principalmente os bancos brasileiros foram atingidos, métodos de pagamento, incluindo Boleto utilizado no Brasil.

2017 - Trojan Zeus

Vírus Zeus - Técnico introspecção Atualização 2017 : ZeuS ainda é um dos maiores infecções de computador com muitas das suas variantes ainda se espalhando em 2017. Leia abaixo para saber mais.

o Zeus malwares tinha muitas formas de distribuição ao longo dos anos para o original e para as variantes posteriores. Uma das primeiras formas para que ela entre no seu sistema de computador, Foi com a ajuda de redirecionamentos. Muita redirecionamentos poderia ser acionado clicando em linha algo como um link ou um botão. Um dos redirecionamentos contém um script que baixa o malware. Outra forma de download clicando em um anúncio que coloca uma questão, e se você clicar em “sim”Ou“Não”Serão ambos resultar na obtenção do Vírus ZeuS Trojan no seu PC.

Como o código fonte Zeus foi divulgada em 2011, um construtor manual foi oferecido gratuitamente que parecia o seguinte:

versões Tweaked do kit de ferramentas e o malware na forma de qualquer um cavalo de Tróia ou um Botnet logo em seguida. As versões acima referidas, com funções específicas, ainda são vendidos até hoje, com preços tipicamente variando desde $700 para $15.000.

Spam e-mails com anexos foram e ainda são uma forma importante de distribuição de Zeus. Dentro do anexo existe um arquivo executável que é ofuscado e escondido como uma espécie de um arquivo de documento, com uma extensão como .pdf ou .doutor como pode ser visto na imagem abaixo:

image Source: SecureList.com

Outra forma de distribuição é com o Zeus sendo enviados em todo o mundo com uma corrente Malvertising. Você pode ver o último relataram tais ataques (abril 2017) e as detecções de fornecedores de segurança para ele na VirusTotal serviço aqui:

O último ataque consistiu em mais de 300 redirecionamentos, quais os resultados para o carregamento de um local comprometida com o [wplinkpreview url =”https://sensorstechforum.com/new-version-rig-exploit-kit-developed/”] RIG Exploit Kit nele. Uma vez que você encontrar-se na página de destino, vulnerabilidades baseadas em Adobe de “Instantâneo”Vai ser explorada quando, finalmente, a carga será descartado. A carga mostrado na imagem acima, é originalmente chamado “73mendjd.exe”.

Como você pode ver as formas de distribuição para Zeus pode variar, e até mesmo outras poderiam ser utilizados como o malware continua a evoluir.

Zeus continua sendo vendidos em fóruns escuro líquidas de alguma forma ou de outra, mesmo no final 2018. Alguns cavalos de Tróia bancários derivam do código do Zeus original como você já deve saber. Alguns dos nomes mais comuns dadas ao vírus por várias empresas anti-malware são os seguintes:

• Trojan-Spy:W32 / Zbot
• PWS-Zbot
• Trojan-Spy.Win32.Zbot
• Trojan.Wsnpoem
• Troj / Agent-LG
• Mal / Agente-MDL
• Mal / Zbot-LM
• Troj / TDSS-BY
• Troj / Agent-LO
• Mal / Buzus-CE
• Sinowal.WUR Troj / Qakbot-D
• Mal / Agent-MIR
• Troj/Qakbot-E
• Troj / QakBot-L

Se você ver qualquer um dos nomes listados acima a aparecer como uma notificação do seu software de segurança, certifique-se que ele pode removê-lo. De outra forma, mudar a sua ferramenta imediatamente.

Em Novembro, o [wplinkpreview url =”https://sensorstechforum.com/panda-zeus-trojan-black-hat-seo/”] cavalo Panda Trojan Zeus retorna com a ajuda de black-hat SEO e técnicas de malvertising em vez de phishing e campanhas de spam. Estas técnicas são novas para a distribuição de malware global. Os atacantes hackeado sites e usado uma rede de botnets de spam para aumentar a sua classificação SEO de outros sites de forma black-hat.

Quando um usuário visita um desses sites, aparecendo agora nos resultados de busca, ele é redirecionado e um documento que contém a carga útil do ZeuS Panda virus é enviado para o seu sistema de computador. O usuário tinha que ativar macros para o vírus para entrar em vigor, mas isso não é preciso muito esforço. O vírus Trojan Zeus foi bastante bem sucedido com seus ataques e continua a se espalhar através da Internet. Cuidado e verifique a URL, antes de confiar em um site.

o Zeus variante Chthonic Foi detectado recentemente por pesquisadores de malware como um que ainda está ativo. O domínio seguinte foi espalhando-:

• dako.gov(.)UA / files / text / load.exe

Esse domínio foi conhecido por ser “O Arquivo do Estado da região de Kiev” e depois de o conta-gotas carga útil tenha baixado o malware, o vírus Envia uma cópia de si mesmo dentro do %appdata% Roaming diretório do sistema operacional Windows. O Panda Banker Trojan ainda permanece ativo como outra contrapartida do notório Zeus troiano. Como o código fonte do vírus foi vendido por algum tempo agora, mais variantes são muito susceptíveis de ser ativo, bem.

atualização agosto 2017 Agora, em agosto 2017 o trojan Zeus está se espalhando em sua mais nova forma – a [wplinkpreview url =”https://sensorstechforum.com/zeus-panda-banker-trojan-suchka-exe-remove-it-completely/”] ZeuS Panda Banker Trojan. Essa variante tem sido visto em vários idiomas, mais notável dos quais é em italiano. Ele está actualmente a tentar infectar sistemas dos bancos em todo o mundo. Ela está espalhada com campanhas de e-mail de spam. O ZeuS Panda Trojan é também conhecido como suchka.exe por causa disso mesmo nome usado para a carga útil ofuscado dentro dos e-mails spam. O interessante é que as poses de vírus para ser um bilhete de seu Police Departament locais. O arquivo anexo no e-mails está dentro de um .fecho eclair arquivo para tentar escondê-lo de software de segurança.

Os arquivos de módulo unificando toda a atividade maliciosa por trás da mais recente variantes do Trojan Zeus malwares estão com um comportamento semelhante e até mesmo nomes semelhantes para algumas das variantes do vírus, como você verá nesta atualização. Os executáveis ​​e as funções maliciosas por trás deles que são de interesse para os mais recentes variantes de Zeus são acreditados para ser o mesmo que a variante v2 original como relatado por Sysforensics. Eles são relatados para ser o seguinte:

• Kernell32.dll
• advapi32.dll
• user32.dll

Esses chamados módulos de suporte de executável principal do Zeus Torjan todos têm múltiplas funções que visam modificar diferentes aspectos do computador infectado e vamos analisá-los completamente.

Kernell32.dll

Neste arquivo, a primeira função de interesse é chamado GetModuleHandleA. Os pesquisadores acreditavam que ele é utilizado a fim de lata de modificar o código do sistema operacional para que uma injeção de código malicioso enquanto despercebido é possível. Outra função é semelhante GetModuleFileName. Destina-se a reverter o nome dos módulos que são ativos como os processos do sistema. Ele pode ser usado para inserir processos no Gerenciador de Tarefas do Windows como se fossem os legítimos. Há também o é OpenMutexA função neste arquivo, primariy responsável por manipular objetos mutex. Ele pode ser usado para que uma segunda infecção com Zeus Trojan é impossível e só existe uma infecção presente. função comumente atendidos para a maioria dos malwares.

advapi32.dll

Este módulo tem duas funções que visam agir como um identificador exclusivo da infecção, provavelmente servindo como uma maneira mais fácil para o hacker para gerenciar muitas infecções, por ter seus nomes exclusivos. As duas funções são GetUserNameA e GetAuditedPermissionsFromAclW. Os dois a maioria das funções interessantes para nós, no entanto, são CreateServiceA assim como CreateProcessAsUserW. Eles são usados ​​principalmente para criar processos e para o monitoramento.

user32.dll

Este módulo usa a função GetDesktopWindow e GetKeyboardState. Eles apontam para a parte de monitoramento do malware, que pode ser:

• keystrokes logging (recurso keylogger).
• captura de tela ou a capacidade de tela.

Este é definitivamente um vírus grave que continua a evoluir. Se novas informações é encontrado o artigo será devidamente atualizado.

o vírus Zeus Trojan tem tomado muitas formas ao longo dos anos e tem infectado a todos quantos 3.6 milhões de computadores nos Estados Unidos sozinho, para não mencionar aqueles em todo o mundo. Agora, em abril 2017, o malware ainda está infectando ativamente sistemas de computador. o chthonic variante está de volta e desta vez é entregue pela RIG Exploit Kit. A distribuição é, com uma cadeia maliciosa e acima descrito.

Abaixo você pode ver uma lista com IPs envolvidos no ataque:

• 5.200.52.240
• 45.56.117.118
• 144.76.133.38
• 89.18.27.34

E aqui estão alguns dos URLs que servem como a última redirecionamento para a página de destino com EQUIPAMENTO:

• dfg.twitttwoo.co.uk
• https://dfg.twitttwoo.co.uk/
• pationare.bit
• https://pationare.bit /
• avaneredge.bit
• https://avaneredge.bit /

Desde o vazamento das costas código fonte Zeus em 2011, novas variantes têm mantido infectando máquinas de computador. O uso comum do Trojan envolvidos, injetar código em navegadores, que mostraria phishing páginas da web, a fim de roubar senhas, credenciais e dados semelhantes relacionados com a banca. O cavalo de Tróia é utilizada por outras finalidades, como sendo a conta-gotas payload para vírus ransomware. Uma amostra analisada no VirusTotal serviço:

Para que ransomware, a seguinte regra é adicionada ao Firewall do Windows:

→netsh advfirewall firewall nome da regra add =”explorar” dir = in = ação permitirá = programa”%APPDATA% Wiezycr itetiwe.exe”

O comando faz com que o Firewall do Windows para desbloquear o executável específico que está escrito lá, que lhe dará acesso à Internet para enviar e receber tráfego on-line. portanto, os dados podem ser roubados do sistema infectado e comandos podem ser enviados a partir de um hacker através desse backdoor recém-criado.

Em janeiro 2017, uma outra variante de Zeus foi detectado, nomeadamente Terdot Zloader / Zbot. Aqui, a Sundown Exploit Kit é usado para a distribuição. O Trojan também integrou aplicativos legítimos dentro de seu pacote de mais de detecção de evitar e usar os aplicativos por motivos maliciosos. Interessantemente suficiente, pessoas que têm a língua russa em seu computador não será infectado.

De 2016 até hoje, lotes de golpes de suporte técnico têm vindo a utilizar uma mensagem de alerta que as reivindicações que você tenha sido infectado com o vírus ZeuS, tal como o exemplo fornecido na imagem para baixo aqui:

Os seguintes golpes de suporte técnico e um ransomware também têm escrito que o seu PC está infectado com ZeuS como uma tática do susto:

• Vírus Porn Scam Detectado - removê-lo
• Retirar 1-844-324-6233 Scam Suporte Técnico (WinCpu.exe)
• Remova vírus vindows Locker e restauração .vindows Arquivos

Nos três casos acima no entanto, você não deve se preocupar tanto, porque o verdadeiro vírus Trojan Zeus provavelmente não ter infectado o computador ea alerta de vírus ZeuS mensagem é falsa.

Além dessas detecções fraudulentos que foram expostas, existem também várias outras detecções que foram relatados para ser associados com software seqüestro de navegador também conhecido como aplicativos potencialmente indesejados. Esse tipo de software é geralmente deslizou para o seu computador via o que muitos chamam de agregação, que está modificando a configuração de um programa gratuito para adicionar uma etapa de instalação para o software indesejado. Usualmente, bundling começou como uma ferramenta de marketing, mas agora ele também é usado em sites suspeitos como uma ferramenta, que visa slither tais aplicações em computadores:

Uma vez que os aplicativos são essencialmente classificados como tipo de baixo nível de ameaças, elas permanecem ativas no computador, e pode começar a modificar as configurações, por si navegadores web, por exemplo Google Chrome, Microsoft borda, Mozilla Firefox, Internet Explorer e outros. Assim que essas configurações são modificadas, os navegadores podem ter diferentes extensões do navegador suspeito adicionados a eles que podem causar:

• pop-ups on-line.
• redireciona o navegador.
• texto destacado.
• Tomado sobre bandeiras.

Uma vez que aqueles foram realizados, um dos redirecionamentos pode levar a links de terceiros que simplesmente bloquear o usuário fora de seu navegador e mostrar um pop-up com uma mensagem afirmando que o computador tenha sido infectado com o vírus Zeus. Mas esta é realmente uma farsa suporte técnico falso, com o objetivo de obter os usuários a ligar para os números fornecidos nas mensagens falsas. As mensagens são muito convincentes e pode até ser acompanhada de uma notificação de som robótico:

Aqui estão alguns exemplos de tais notificações:

“Windows detectou vírus ZEUS. As infecções detectadas indicam alguns downloads recentes no computador que por sua vez criou problemas no computador. suporte técnico chamada 0800-014-8826, 1-844-557-5460 e compartilhar esse B2957E código para o Agente de corrigir isso “.

Quando golpes de apoio, tecnologia são encontrados, recomendamos fortemente que você confira nosso vídeo remoção Para ajudar você a se livrar do golpe de suporte técnico e quaisquer programas potencialmente untanted relacionado a ele.

Em caso você estava pensando o que a Zeus malware é, ou de outro modo, também conhecido como Zbot vírus, aqui é o lugar certo para descobrir. Abaixo, você vai ver os arquivos do vírus eo que eles podem ser, como você pode detectá-lo se ele é colocado em seu computador silenciosamente e esperando para receber um comando para roubar seus dados. Aqui é como encontrá-lo, passo a passo:

Com direitos de administrador, olhar para estes diretórios e arquivos:

• %systemroot% system32 sdra64.exe (malwares)
• %systemroot% system32 lowsec
• %systemroot% system32 lowsec user.ds (arquivo de dados roubados – criptografado)
• %systemroot% system32 lowsec user.ds.lll (arquivo de dados roubados - temporária)
• %systemroot% system32 lowsec local.ds (arquivo de configuração – criptografado)

Sem direitos de administrador, olhar para estes diretórios e arquivos:

• %appdata% sdra64.exe
• %appdata% lowsec
• %appdata% lowsec user.ds
• %appdata% lowsec user.ds.lll
• %appdata% lowsec local.ds

o vírus ZeuS também vai mexer com o Registro do Windows, alterando as seguintes duas entradas de registro para garantir que ele carrega com privilégios de administrador:

→HKLM Software Microsoft Windows NT CurrentVersion Winlogon

O padrão é:
“Userinit” = “C:\WINDOWS system32 userinit.exe”

e é alterado para:
“Userinit” = “C:\WINDOWS system32 userinit.exe,C:\WINDOWS system32 sdra64.exe”

Se você não tem direitos de administrador, olhar para esta seqüência aqui:

→HKCU Software Microsoft Windows CurrentVersion Run

O vírus cavalo de Trojan Zeus adiciona a seguinte:
“Userinit” = “C:\Documentos e Configurações<do utilizador>\sdra64.exe Application Data ”

Nota! Como existem muitas variantes de Zeus o arquivo executável pode variar. Excepto o descrito anteriormente (sdra64.exe), os seguintes são registrados para ser usado no passado, também:

• ntos.exe
• oembios.exe
• twext.exe
• pdfupd.exe
• 73mendjd.exe (usado em 2017)
• onlineservicesw.exe (usado em 2017)

Depois, a cavalo Zeus Trojan usará um dos acima mencionados executáveis ​​para o código injectar um dos dois processos seguintes (dependendo do que privilégios que conseguiu adquirir): winlogon.exe ou explorer.exe. Esse código-injeção é feita com o objetivo de esconder Zeus entre outros processos, para que você como o usuário não suspeitar de nada. O código é em seguida injectada em outros processos bem, a fim de roubar dados. Se você notar um aumento da atividade em um processo geral do Gerenciador de tarefas, Confira, como você pode ter sido infectado e desconhecem o fato de.

Se o seu computador foi infectado com o Zeus vírus cavalo de tróia, você deve ter um pouco de experiência na remoção de malware. Você deve se livrar deste cavalo de Tróia o mais rápido possível antes que ele possa ter a chance de se espalhar ainda mais e infectar outros sistemas de computador. Você deve remover o vírus e siga as instruções passo-a-passo guia fornecido abaixo.

Sobre a Pesquisa ZeuS

O conteúdo que publicamos em SensorsTechForum.com, este guia de como fazer ZeuS incluído, é o resultado de uma extensa pesquisa, trabalho árduo e a dedicação de nossa equipe para ajudá-lo a remover o problema específico do trojan.

Como conduzimos a pesquisa no ZeuS?

Observe que nossa pesquisa é baseada em uma investigação independente. Estamos em contato com pesquisadores de segurança independentes, graças ao qual recebemos atualizações diárias sobre as definições de malware mais recentes, incluindo os vários tipos de trojans (Porta dos fundos, downloader, Infostealer, resgate, etc.)

além disso, a pesquisa por trás da ameaça Zeus é apoiada por VirusTotal.

Para entender melhor a ameaça representada por trojans, por favor, consulte os seguintes artigos que fornecem detalhes conhecedores.