Microsoft Menambahkan Keluarga Trojan Win32/Zemot Ke Alat Penghapus Perangkat Lunak Berbahaya

Microsoft hari ini mengumumkan bahwa mereka telah menambahkan Win32/Zemot keluarga ke Malicious Software Removal Tool. Keluarga pengunduh trojan Win32/Zemot digunakan oleh malware seperti: Win32/Rovnix, Win32/Viknok, dan Win32/Tesch dengan sejumlah muatan yang berbeda. Zemot biasanya didistribusikan melalui malware robot spam Win32/Kuluoz dan melalui kit exploit Magnitude EK dan Nuclear EK. Anda dapat melihat rantai infeksi di atas.

Kami mulai melihat aktivitas dari Pengunduh Trojan: Win32/Upatre.B pada akhir tahun 2013 dan mengidentifikasi ancaman ini sebagai distributor utama malware penipuan klik PWS:Win32/Zbot.gen!AP dan PWS:Win32/Zbot.CF. Kami mengganti nama pengunduh menjadi Zemot pada Mei 2014.

Dengan mempertimbangkan mesin dan telemetri jumlah file, kita dapat melihat bahwa satu salinan Zemot sering kali didistribusikan secara massal ke URL muatan (URL unduhan untuk Win32/Kuluoz dan URL muatan untuk kit eksploitasi).

Beberapa karakteristik penting lainnya dari keluarga Zemot meliputi:

• Mereka menggunakan beberapa teknik untuk memastikan modul yang diunduh akan berhasil di semua platform Windows.
• Setiap unduhan yang berhasil disimpan dengan nama file unik untuk memungkinkan beberapa infeksi.
• Varian utama bervariasi dalam format konfigurasi statis dan format nama file unduhan (misalnya: java_update_ .exe, updateflashplayer_ .exe).
• Modul seperti mendapatkan versi OS, hak istimewa pengguna, penguraian URL, dan rutinitas pengunduhan diambil dari kode sumber Zbot.
• Varian dapat digabungkan dengan malware lain (satu pengunduh trojan dapat mendistribusikan beberapa muatan malware).

Baca lebih lanjut dari tautan di bawah ini.

Sumber: Microsoft