Microsoft adiciona a família de Trojans Win32/Zemot à ferramenta de remoção de software malicioso
2 minutos. ler
Publicado em
Leia nossa página de divulgação para descobrir como você pode ajudar o MSPoweruser a sustentar a equipe editorial Saiba mais
A Microsoft anunciou hoje que adicionou o Win32/Zemot família para o Ferramenta de Remoção de Software Malicioso. A família Win32/Zemot de downloaders de trojans é usada por malwares como Win32/Rovnix, Win32/Viknok e Win32/Tesch com várias cargas diferentes. Zemot geralmente é distribuído através do malware spambot Win32/Kuloz e através dos kits de exploração Magnitude EK e Nuclear EK. Você pode ver a cadeia de infecção acima.
Começamos a ver a atividade de TrojanDownloader:Win32/Upatre.B no final de 2013 e identificou essa ameaça como o principal distribuidor do malware de fraude de cliques PWS:Win32/Zbot.gen!AP e PWS:Win32/Zbot.CF. Renomeamos o downloader para Zemot em maio de 2014.
Ao levar em conta a telemetria da máquina e da contagem de arquivos, podemos ver que uma única cópia do Zemot geralmente é distribuída em massa para as URLs de carga útil (as URLs de download para Win32/Kuluoz e a URL de carga útil para os kits de exploração).
Algumas outras características notáveis da família Zemot incluem:
- Eles usam várias técnicas para garantir que o módulo baixado seja bem-sucedido em todas as plataformas Windows.
- Cada download bem-sucedido é salvo com um nome de arquivo exclusivo para permitir várias infecções.
- As principais variantes variam em seu formato de configuração estática e formato de nome de arquivo de download (por exemplo: java_update_ .exe, atualizaçãoflashplayer_ .exe).
- Módulos como obter a versão do SO, privilégio do usuário, análise de URL e rotina de download são retirados do código-fonte do Zbot.
- As variantes podem ser agrupadas com outro malware (um downloader de trojan pode distribuir várias cargas de malware).
Leia mais no link abaixo.
Fonte: Microsoft