Microsoft adiciona a família de Trojans Win32/Zemot à ferramenta de remoção de software malicioso

A Microsoft anunciou hoje que adicionou o Win32/Zemot família para o Ferramenta de Remoção de Software Malicioso. A família Win32/Zemot de downloaders de trojans é usada por malwares como Win32/Rovnix, Win32/Viknok e Win32/Tesch com várias cargas diferentes. Zemot geralmente é distribuído através do malware spambot Win32/Kuloz e através dos kits de exploração Magnitude EK e Nuclear EK. Você pode ver a cadeia de infecção acima.

Começamos a ver a atividade de TrojanDownloader:Win32/Upatre.B no final de 2013 e identificou essa ameaça como o principal distribuidor do malware de fraude de cliques PWS:Win32/Zbot.gen!AP e PWS:Win32/Zbot.CF. Renomeamos o downloader para Zemot em maio de 2014.

Ao levar em conta a telemetria da máquina e da contagem de arquivos, podemos ver que uma única cópia do Zemot geralmente é distribuída em massa para as URLs de carga útil (as URLs de download para Win32/Kuluoz e a URL de carga útil para os kits de exploração).

Algumas outras características notáveis ​​da família Zemot incluem:

• Eles usam várias técnicas para garantir que o módulo baixado seja bem-sucedido em todas as plataformas Windows.
• Cada download bem-sucedido é salvo com um nome de arquivo exclusivo para permitir várias infecções.
• As principais variantes variam em seu formato de configuração estática e formato de nome de arquivo de download (por exemplo: java_update_ .exe, atualizaçãoflashplayer_ .exe).
• Módulos como obter a versão do SO, privilégio do usuário, análise de URL e rotina de download são retirados do código-fonte do Zbot.
• As variantes podem ser agrupadas com outro malware (um downloader de trojan pode distribuir várias cargas de malware).

Leia mais no link abaixo.

Fonte: Microsoft