Microsoft dodaje obitelj trojanaca Win32/Zemot alatu za uklanjanje zlonamjernog softvera

Microsoft je danas objavio da su dodali Win32/Zemot obitelj do Alat za uklanjanje zlonamjernog softvera. Win32/Zemot obitelj trojanaca za preuzimanje koristi zlonamjerni softver kao što je Win32/Rovnix, Win32/Viknoki Win32/Tesch s nizom različitih nosivosti. Zemot se obično distribuira putem zlonamjernog softvera za spambot Win32/Kuluoz i kroz exploit kitove Magnitude EK i Nuclear EK. Lanac infekcije možete vidjeti iznad.

Počeli smo vidjeti aktivnost od TrojanDownloader:Win32/Upatre.B krajem 2013. i identificirao ovu prijetnju kao glavnog distributera zlonamjernog softvera za prijevaru klikovima PWS:Win32/Zbot.gen!AP i PWS:Win32/Zbot.CF. Preimenovali smo program za preuzimanje u Zemot u svibnju 2014.

Uzimajući u obzir telemetriju i stroja i broja datoteka, možemo vidjeti da se jedna kopija Zemota često masovno distribuira na URL-ove korisnog opterećenja (URL-ovi za preuzimanje za Win32/Kuluoz i URL-ovi korisnog učitavanja za exploit setove).

Neke druge značajne karakteristike obitelji Zemot uključuju:

• Koriste nekoliko tehnika kako bi bili sigurni da će preuzeti modul biti uspješan na svim Windows platformama.
• Svako uspješno preuzimanje sprema se s jedinstvenim nazivom datoteke kako bi se omogućilo više infekcija.
• Glavne varijante razlikuju se u formatu statičke konfiguracije i formatu naziva datoteke za preuzimanje (na primjer: java_update_ .exe, updateflashplayer_ .exe).
• Moduli kao što su dobivanje verzije OS-a, privilegija korisnika, raščlanjivanje URL-a i rutina preuzimanja preuzeti su iz Zbot izvornog koda.
• Varijante se mogu povezati s drugim zlonamjernim softverom (jedan program za preuzimanje trojanaca može distribuirati više korisnih sadržaja zlonamjernog softvera).

Pročitajte više na linku ispod.

Izvor: microsoft