Microsoft dodaje rodzinę trojanów Win32/Zemot do narzędzia do usuwania złośliwego oprogramowania

Microsoft ogłosił dzisiaj, że dodał Win32/Zemota rodzina do Narzędzie do usuwania złośliwego oprogramowania. Rodzina trojanów pobierania Win32/Zemot jest wykorzystywana przez złośliwe oprogramowanie, takie jak Win32/Rovnix, Win32/Viknok, Win32/Tesch z wieloma różnymi ładunkami. Zemot jest zwykle dystrybuowany za pośrednictwem złośliwego oprogramowania spamującego Win32/Kuluoz oraz poprzez zestawy exploitów Magnitude EK i Nuclear EK. Możesz zobaczyć łańcuch infekcji powyżej.

Zaczęliśmy widzieć aktywność od TrojanDownloader:Win32/Upatre.B pod koniec 2013 roku i zidentyfikował to zagrożenie jako głównego dystrybutora szkodliwego oprogramowania do oszustw kliknięć PWS:Win32/Zbot.gen!AP i PWS:Win32/Zbot.CF. W maju 2014 roku zmieniliśmy nazwę downloadera na Zemot.

Biorąc pod uwagę zarówno maszynę, jak i telemetrię liczby plików, możemy zauważyć, że pojedyncza kopia Zemot jest często masowo dystrybuowana do adresów URL ładunku (adresy URL pobierania dla Win32/Kuluoz i adres URL ładunku dla zestawów exploitów).

Niektóre inne godne uwagi cechy rodziny Zemot to:

• Używają kilku technik, aby upewnić się, że pobrany moduł odniesie sukces na wszystkich platformach Windows.
• Każde pomyślne pobranie jest zapisywane z unikalną nazwą pliku, aby umożliwić wiele infekcji.
• Główne warianty różnią się formatem konfiguracji statycznej i formatem nazwy pliku do pobrania (na przykład: java_aktualizacja_ .exe, aktualizacja flashplayera_ .exe).
• Moduły takie jak pobieranie wersji systemu operacyjnego, uprawnień użytkownika, parsowanie adresów URL i procedura pobierania są pobierane z kodu źródłowego Zbot.
• Warianty można łączyć z innym złośliwym oprogramowaniem (jeden trojan downloader może dystrybuować wiele szkodliwych programów).

Przeczytaj więcej z linku poniżej.

Źródło: Microsoft