Microsoft agrega la familia de troyanos Win32/Zemot a la herramienta de eliminación de software malicioso

Microsoft anunció hoy que ha agregado la Win32/Zemot familia a la Software malintencionado Herramienta de eliminación de. La familia de descargadores de troyanos Win32/Zemot es utilizada por malware como Win32/Rovnix, Win32/Viknoky Win32/Tecnología con un número de diferentes cargas útiles. Zemot generalmente se distribuye a través del malware spambot Win32/Kuluoz ya través de los exploit kits Magnitude EK y Nuclear EK. Puedes ver la cadena de infección arriba.

Empezamos a ver actividad de Descargador de troyanos:Win32/Upatre.B a fines de 2013 e identificó esta amenaza como el principal distribuidor del malware de fraude de clics PWS:Win32/Zbot.gen!AP y PWS:Win32/Zbot.CF. Cambiamos el nombre del descargador a Zemot en mayo de 2014.

Al tener en cuenta tanto la máquina como la telemetría de conteo de archivos, podemos ver que una sola copia de Zemot a menudo se distribuye masivamente a las URL de carga útil (las URL de descarga para Win32/Kuluoz y la URL de carga útil para los kits de explotación).

Algunas otras características notables de la familia Zemot incluyen:

• Utilizan varias técnicas para asegurarse de que el módulo descargado funcione correctamente en todas las plataformas de Windows.
• Cada descarga exitosa se guarda con un nombre de archivo único para permitir múltiples infecciones.
• Las principales variantes varían en su formato de configuración estática y en el formato del nombre del archivo de descarga (por ejemplo: java_update_ .exe, actualizar flashplayer_ .exe).
• Los módulos, como obtener la versión del sistema operativo, los privilegios de usuario, el análisis de URL y la rutina de descarga, se toman del código fuente de Zbot.
• Las variantes se pueden agrupar con otro malware (un descargador de troyanos puede distribuir múltiples cargas útiles de malware).

Lea más en el siguiente enlace.

Fuente: Microsoft