Microsoft tilføjer Win32/Zemot Trojan Family til værktøjet til fjernelse af skadelig software
2 min. Læs
Udgivet den
Del denne artikel
Forbedre denne vejledning
Læs vores oplysningsside for at finde ud af, hvordan du kan hjælpe MSPoweruser med at opretholde redaktionen Læs mere
Microsoft meddelte i dag, at de har tilføjet Win32/Zemot familie til Malicious Software Removal Tool. Win32/Zemot-familien af trojanske downloadere bruges af malware som f.eks Win32/Rovnix, Win32/Viknokog Win32/Tesch med en række forskellige nyttelaster. Zemot distribueres normalt gennem spambottens malware Win32/Kuluoz og gennem udnyttelsessættene Magnitude EK og Nuclear EK. Du kan se infektionskæden ovenfor.
Vi begyndte at se aktivitet fra TrojanDownloader:Win32/Upatre.B i slutningen af 2013 og identificerede denne trussel som hoveddistributøren af kliksvindel-malwaren PWS:Win32/Zbot.gen!AP , PWS:Win32/Zbot.CF. Vi omdøbte downloaderen til Zemot i maj 2014.
Ved at tage hensyn til både maskinen og filantal-telemetrien, kan vi se, at en enkelt kopi af Zemot ofte massedistribueres til payload-URL'erne (download-URL'erne til Win32/Kuluoz og payload-URL'en til udnyttelsessættene).
Nogle andre bemærkelsesværdige egenskaber ved Zemot-familien inkluderer:
- De bruger flere teknikker til at sikre, at det downloadede modul bliver vellykket på alle Windows-platforme.
- Hver vellykket download gemmes med et unikt filnavn for at tillade flere infektioner.
- Større varianter varierer i deres statiske konfigurationsformat og downloadfilnavnsformat (f.eks.: java_update_ .exe, updateflashplayer_ .exe).
- Moduler såsom at få OS-versionen, brugerrettigheder, URL-parsing og downloadrutinen er taget fra Zbot-kildekoden.
- Varianter kan være bundtet med anden malware (én trojansk downloader kan distribuere flere malware-nyttelaster).
Læs mere fra linket nedenfor.
Kilde: microsoft
