Microsoft lisää Win32/Zemot Trojan -perheen haittaohjelmien poistotyökaluun
2 min. lukea
Julkaistu
Lue ilmoitussivumme saadaksesi selville, kuinka voit auttaa MSPoweruseria ylläpitämään toimitustiimiä Lue lisää
Microsoft ilmoitti tänään, että he ovat lisänneet Win32/Zemot perheeseen Malicious Software Removal Tool. Win32/Zemot-perheen troijalaisia lataajia käyttävät haittaohjelmat, kuten Win32/Rovnix, Win32/Viknokja Win32/Tesch useilla erilaisilla hyötykuormilla. Zemot levitetään yleensä roskapostihaittaohjelman kautta Win32/Kuluoz ja hyödyntämissarjojen Magnitude EK ja Nuclear EK kautta. Näet tartuntaketjun yllä.
Aloimme nähdä toimintaa vuodesta Troijan latausohjelma:Win32/Upatre.B vuoden 2013 lopulla ja tunnisti tämän uhan napsautuspetoshaittaohjelman pääjakelijaksi PWS:Win32/Zbot.gen!AP ja PWS: Win32/Zbot.CF. Nimesimme latausohjelman uudelleen Zemotiksi toukokuussa 2014.
Ottaen huomioon sekä koneen että tiedostomäärän telemetrian voimme nähdä, että yksittäinen Zemot-kopio jaetaan usein massajakelulle hyötykuorman URL-osoitteille (Win32/Kuluozin lataus-URL-osoitteet ja hyväksikäyttöpakkausten hyötykuorman URL-osoitteet).
Joitakin muita Zemot-perheen merkittäviä ominaisuuksia ovat:
- He käyttävät useita tekniikoita varmistaakseen, että ladattu moduuli toimii onnistuneesti kaikilla Windows-alustoilla.
- Jokainen onnistunut lataus tallennetaan yksilöivällä tiedostonimellä useiden infektioiden mahdollistamiseksi.
- Tärkeimmät versiot vaihtelevat staattisen konfigurointimuodon ja ladattavan tiedoston nimen muodossa (esimerkiksi: java_update_ .exe, päivitäflashplayer_ .exe).
- Moduulit, kuten käyttöjärjestelmäversion saaminen, käyttöoikeudet, URL-jäsennys ja latausrutiini, on otettu Zbotin lähdekoodista.
- Variantit voidaan yhdistää muihin haittaohjelmiin (yksi troijalainen latausohjelma voi jakaa useita haittaohjelmia).
Lue lisää alla olevasta linkistä.
Lähde: Microsoft