Microsoft legger til Win32/Zemot Trojan Family til verktøyet for fjerning av skadelig programvare

Microsoft kunngjorde i dag at de har lagt til Win32/Zemot familie til Malicious Software Removal Tool. Win32/Zemot-familien av trojanske nedlastere brukes av skadelig programvare som f.eks Win32/Rovnix, Win32/Viknokog Win32/Tesch med en rekke forskjellige nyttelaster. Zemot distribueres vanligvis gjennom spambot-malware Win32/Kuluoz og gjennom utnyttelsessettene Magnitude EK og Nuclear EK. Du kan se infeksjonskjeden ovenfor.

Vi begynte å se aktivitet fra TrojanDownloader:Win32/Upatre.B på slutten av 2013 og identifiserte denne trusselen som hoveddistributøren av skadelig programvare for klikksvindel PWS:Win32/Zbot.gen!AP og PWS:Win32/Zbot.CF. Vi ga nytt navn til nedlasteren til Zemot i mai 2014.

Ved å ta hensyn til både maskinen og filtellertelemetrien, kan vi se at en enkelt kopi av Zemot ofte massedistribueres til nyttelast-URL-ene (nedlastings-URL-ene for Win32/Kuluoz og nyttelast-URL-en for utnyttelsessettene).

Noen andre bemerkelsesverdige kjennetegn ved Zemot-familien inkluderer:

• De bruker flere teknikker for å sikre at den nedlastede modulen vil lykkes på alle Windows-plattformer.
• Hver vellykket nedlasting lagres med et unikt filnavn for å tillate flere infeksjoner.
• Hovedvarianter varierer i statisk konfigurasjonsformat og format for nedlastingsfilnavn (for eksempel: java_update_ .exe, updateflashplayer_ .exe).
• Moduler som å få OS-versjonen, brukerrettigheter, URL-parsing og nedlastingsrutinen er hentet fra Zbot-kildekoden.
• Varianter kan pakkes sammen med annen skadelig programvare (én trojansk nedlaster kan distribuere flere nyttelaster for skadelig programvare).

Les mer fra lenken nedenfor.

kilde: Microsoft