Lire la meme chose en:    Français  Deutsch  Polski  Русский  Español  English  
Rechercher:
Article ID #   
Recherche avancée:

 
Recherche:  
Aide à la recherche Article ID # :     
 

Comment combattre les programmes malveillants de la famille Trojan-Spy.Win32.ZBot?

Cette section explique comment résoudre un souci avec un code malicieux complexe, c'est à dire lorsque l'action d'un utilisateur est requise pour modifier la base de registre ou exécuter un outil spécifique. Si vous n'avez pas trouver les informations nécessaires dans cette rubrique, veuillez contacter votre revendeur informatique ou le support technique Kaspersky Lab via le formulaire en ligne.

Comment combattre les programmes malveillants de la famille Trojan-Spy.Win32.ZBot?

 ID Article: 2020    Autres langages:  Deutsch  Polski  Русский  Español  English      Voir pour 7 jours 5    Dernière modification le 19.07.2011 16:35 Version imprimable

Contexte

Comment combattre les programmes malveillants de la famille Trojan-Spy.Win32.ZBot?


   Procédure


A présent, les analystes antivirus de Kaspersky Lab remarquent une vaste propagation du programme trojan de la famille Trojan-Spy.Win32.Zbot, utilsés par des personnes malveillantes afin de voler des données bancaires d'ordinateurs des utilisateurs. Le fonctionnement de ces programmes n'est pas accompagné par des effets visibles ce qui complique leur détection sur les ordinateurs-"victimes" qui ne sont pas protégés par un logiciel antivirus. Ces programmes utilisent la technologie de rootkit afin de dissimuler la présence de leur fichiers et processus sur un système infecté.

Dans la plupart des cas, les programme de la famille Trojan-Spy.Win32.Zbot pénètrent sur votre ordinateur au moment où vous consultez les pages internet infectées. Autrement, le principe du fonctionnement de ce type du trojan est utilisé par de plusieurs cyber criminels qui inventent leur propre manière de pénétrer sur l'ordinateur-victime.

La seule façon de prévenir l'infection de votre ordinateur par les programmes malveillants de la famille Trojan-Spy.Win32.Zbot  est l'installation d'un logiciel antivirus et la mise à jour régulière de ses bases antivirus afin qu'il "soit au courant" de l'apparition de nouvelles modifications de ces programmes. Les applications de Kaspersky Lab vous aideront à prévenir l'infection de votre ordinateur par toutes les modifications connues du programme Trojan-Spy.Win32.Zbot et s'il est nécessaire, supprimera toutes les traces de l'infection du système.

Si vous n'utilisez pas de logiciels antivirus, nous vous recommandons forcément d'analyser votre ordinateur à l'aide de l'outil spécial ZbotKiller.exe avant d'effectuer des opérations bancaires via Internet. Si un programme trojan est détecté sur l'ordinateur, veuillez désinfecter le système infecté.

Dans cet article vous pourriez trouver la description des endroits dans le système où les programmes Trojan-Spy.Win32.Zbot enregistrent d'habitude leur données (mais ces fichiers peuvent être cachés), et des méthodes d'exécution de l'outil ZbotKiller.exe permettant de détecter et de supprimer ces programmes malveillants.

 

Les symptômes généraux de l'infection par les programmes malveillants de la famille Trojan-Spy.Win32.Zbot

  1. Dans les dossiers %windir%\system32 et %AppData% les fichiers suivants apparaissent (un ou plusieurs) :
    • ntos.exe
    • twex.exe
    • twext.exe
    • oembios.exe
    • sdra64.exe
    • lowsec\\local.ds
    • lowsec\\user.ds

      ÇàìåÞàíèå%windir%\system32 et %AppData% sont les dossiers du système d'exploitation de Microsoft Windows. Le chemin vers ces dossiers dépend de la version du système d'exploitation installé sur votre ordinateur.
      Par ex. sur Windows Vista les chemins complets vers ces dossiers sont : C:\Windows\System32 et C:\Users\<nom_de_l'utilisateur>\AppData. Sur Windows XP Professional les chemins sont : C:\WINDOWS\system32 et C:\Documents and Settings\<nom_de_l'utilisateur>\Application Data.
  2. Les liens aux fichiers suspects indiqués ci-dessus apparaissent dans les clés suivantes de la base de registre :
    • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  

 

Les méthodes de la désinfection du système d'exploitation infecté

La désinfection des systèmes d'exploitation infectés par les programmes malveillants de la famille Trojan-Spy.Win32.Zbot se réalise à l'aide de l'outil ZbotKiller.exe. Au cours de son fonctionnement, l'outil :

  • effectue l'analyse rapide du système
  • détecte et supprime le code malveillant de toutes les modifications connues du Trojan-Spy.Win32.Zbot intégré dans d'autres logiciels sur l'ordinateur
  • supprime les fonctionnalités des outils dissimilant l'activité des programmes malveillants (rootkit)
  • supprime les fichiers dangereux et nettoie la base de registre des traces de l'activité des programmes Trojan-Spy.Win32.Zbot

 

L'outil ZbotKiller.exe peut être exécuté sur un ordinateur local ou à distance si le réseau est équipé par Kaspersky Administration Kit.


Sur un ordinateur local :
:

  1. téléchargez l'archive ZbotKiller.zip et décompressez-le dans un dossier sur l'ordinateur infecté.

  2. exécutez le fichier ZbotKiller.exe.

    ÇàìåÞàíèå

    A la fin de l'analyse, il est possible d'avoir l'affichage de la fenêtre de la ligne de commande attendant la pression sur une touche de clavier afin de la fermer. Veuillez lancer l'outil avec le paramètre -ypour la fermeture automatique à la fin d'analyse.


  3. patientez jusqu'à la fin de l'analyse et de la désinfection. Le redémarrage de l'ordinateur n'est pas obligatoire.

 

A distance via Kaspersky Administration Kit :

  1. téléchargez l'outil ZBotKiller.zip et décompressez l'archive

  2. créez le paquet d'installation pour l'application ZbotKiller.exe dans la Console de Kaspersky Administration Kit. Choisissez l'option Créer le paquet d'installation pour l'application indiquée par l'utilisateur.

    ÇàìåÞàíèåDans le champ Paramètres d'exécution du paquet d'installation indiquez la clé -y afin que la fenêtre de la console se ferme automatiquement à la fin de l'analyse.


  3. à la base de ce paquet d'installation créez une tâche de groupe ou une tâche globale de l'installation à distance pour les ordinateurs infectés ou potentiellement infectés. Vous pouvez exécuter l'outil ZbotKiller.exe sur tous les ordinateurs de votre réseau.


    Lancez l'exécution de la tâche. Le redémarrage de l'ordinateur après la désinfections n'est pas obligatoire.

Les paramètres de la ligne de commande pour l'outil ZbotKiller.exe :

-y - ne pas attendre la pression d'une touche de clavier à la fin de l'analyse
-s - exécuter l'outil en mode silencieux
-l <nom de fichier> - enregistrement de l'information dans un fichier
-v - enregistrement d'un rapport détaillé (il est nécessaire de l'utiliser avec le paramètre -l)
-help - avoir la liste des paramètres disponibles

Par ex. afin d'analyser l'ordinateur avec l'enregistrement d'un rapport détaillé dans le fichier report.txt (qui est créé dans le dossier avec l'outil  ZbotKiller.exe), veuillez utiliser la commande suivante :

zbotkiller.exe -y -l report.txt -v

Grâce au paramètre -y la fenêtre de la ligne de commande attendant la pression d'une touche de clavier n'apparaîtra pas.

Donnez votre avis:
La solution proposée correspond elle a votre demande ?* 
Cette FAQ vous a t-elle aidé?* 
Donnez vos suggestions pour améliorer cette FAQ. Pour toutes questions, utilisez le formulaire du HelpDesk 

 

Kaspersky Lab

Copyright © 1997-2014 Kaspersky Lab
Site map  |   Contactez nous  |   Support international  |  Soumettre des fichiers suspects
Accès à votre espace personnel  |   S'enregistrer  |   FAQ sur l'espace personnel
S'identifier sur CompanyAccount  |   S'enregistrer   |   FAQ pour CompanyAccount

Restez connecté