Microsoft legger til Win32/Zemot Trojan Family til verktøyet for fjerning av skadelig programvare
2 min. lese
Publisert på
Les vår avsløringsside for å finne ut hvordan du kan hjelpe MSPoweruser opprettholde redaksjonen Les mer
Microsoft kunngjorde i dag at de har lagt til Win32/Zemot familie til Malicious Software Removal Tool. Win32/Zemot-familien av trojanske nedlastere brukes av skadelig programvare som f.eks Win32/Rovnix, Win32/Viknokog Win32/Tesch med en rekke forskjellige nyttelaster. Zemot distribueres vanligvis gjennom spambot-malware Win32/Kuluoz og gjennom utnyttelsessettene Magnitude EK og Nuclear EK. Du kan se infeksjonskjeden ovenfor.
Vi begynte å se aktivitet fra TrojanDownloader:Win32/Upatre.B på slutten av 2013 og identifiserte denne trusselen som hoveddistributøren av skadelig programvare for klikksvindel PWS:Win32/Zbot.gen!AP og PWS:Win32/Zbot.CF. Vi ga nytt navn til nedlasteren til Zemot i mai 2014.
Ved å ta hensyn til både maskinen og filtellertelemetrien, kan vi se at en enkelt kopi av Zemot ofte massedistribueres til nyttelast-URL-ene (nedlastings-URL-ene for Win32/Kuluoz og nyttelast-URL-en for utnyttelsessettene).
Noen andre bemerkelsesverdige kjennetegn ved Zemot-familien inkluderer:
- De bruker flere teknikker for å sikre at den nedlastede modulen vil lykkes på alle Windows-plattformer.
- Hver vellykket nedlasting lagres med et unikt filnavn for å tillate flere infeksjoner.
- Hovedvarianter varierer i statisk konfigurasjonsformat og format for nedlastingsfilnavn (for eksempel: java_update_ .exe, updateflashplayer_ .exe).
- Moduler som å få OS-versjonen, brukerrettigheter, URL-parsing og nedlastingsrutinen er hentet fra Zbot-kildekoden.
- Varianter kan pakkes sammen med annen skadelig programvare (én trojansk nedlaster kan distribuere flere nyttelaster for skadelig programvare).
Les mer fra lenken nedenfor.
kilde: Microsoft