Microsoft lisää Win32/Zemot Trojan -perheen haittaohjelmien poistotyökaluun

Microsoft ilmoitti tänään, että he ovat lisänneet Win32/Zemot perheeseen Malicious Software Removal Tool. Win32/Zemot-perheen troijalaisia ​​lataajia käyttävät haittaohjelmat, kuten Win32/Rovnix, Win32/Viknokja Win32/Tesch useilla erilaisilla hyötykuormilla. Zemot levitetään yleensä roskapostihaittaohjelman kautta Win32/Kuluoz ja hyödyntämissarjojen Magnitude EK ja Nuclear EK kautta. Näet tartuntaketjun yllä.

Aloimme nähdä toimintaa vuodesta Troijan latausohjelma:Win32/Upatre.B vuoden 2013 lopulla ja tunnisti tämän uhan napsautuspetoshaittaohjelman pääjakelijaksi PWS:Win32/Zbot.gen!AP ja PWS: Win32/Zbot.CF. Nimesimme latausohjelman uudelleen Zemotiksi toukokuussa 2014.

Ottaen huomioon sekä koneen että tiedostomäärän telemetrian voimme nähdä, että yksittäinen Zemot-kopio jaetaan usein massajakelulle hyötykuorman URL-osoitteille (Win32/Kuluozin lataus-URL-osoitteet ja hyväksikäyttöpakkausten hyötykuorman URL-osoitteet).

Joitakin muita Zemot-perheen merkittäviä ominaisuuksia ovat:

• He käyttävät useita tekniikoita varmistaakseen, että ladattu moduuli toimii onnistuneesti kaikilla Windows-alustoilla.
• Jokainen onnistunut lataus tallennetaan yksilöivällä tiedostonimellä useiden infektioiden mahdollistamiseksi.
• Tärkeimmät versiot vaihtelevat staattisen konfigurointimuodon ja ladattavan tiedoston nimen muodossa (esimerkiksi: java_update_ .exe, päivitäflashplayer_ .exe).
• Moduulit, kuten käyttöjärjestelmäversion saaminen, käyttöoikeudet, URL-jäsennys ja latausrutiini, on otettu Zbotin lähdekoodista.
• Variantit voidaan yhdistää muihin haittaohjelmiin (yksi troijalainen latausohjelma voi jakaa useita haittaohjelmia).

Lue lisää alla olevasta linkistä.

Lähde: Microsoft