Microsoft adaugă familia de troieni Win32/Zemot la instrumentul de eliminare a software-ului rău intenționat

Microsoft a anunțat astăzi că a adăugat Win32/Zemot familie la Instrument de eliminare a programelor malware. Familia Win32/Zemot de descărcare troiene este utilizată de programe malware, cum ar fi Win32/Rovnix, Win32/Viknok, și Win32/Tesch cu un număr de sarcini utile diferite. Zemot este de obicei distribuit prin malware spambot Win32/Kuluoz și prin kiturile de exploatare Magnitude EK și Nuclear EK. Puteți vedea lanțul de infecție mai sus.

Am început să vedem activitate de la TrojanDownloader:Win32/Upatre.B la sfârșitul anului 2013 și a identificat această amenințare drept principalul distribuitor al malware-ului pentru fraudarea clicurilor PWS:Win32/Zbot.gen!AP și PWS:Win32/Zbot.CF. Am redenumit programul de descărcare în Zemot în mai 2014.

Luând în considerare atât telemetria mașinii, cât și a numărului de fișiere, putem vedea că o singură copie a Zemot este adesea distribuită în masă către adresele URL de încărcare utilă (URL-urile de descărcare pentru Win32/Kuluoz și URL-ul de încărcare utilă pentru kiturile de exploatare).

Alte caracteristici notabile ale familiei Zemot includ:

• Ei folosesc mai multe tehnici pentru a se asigura că modulul descărcat va avea succes pe toate platformele Windows.
• Fiecare descărcare reușită este salvată cu un nume de fișier unic pentru a permite mai multe infecții.
• Variantele majore variază în formatul lor de configurare statică și formatul numelui fișierului de descărcare (de exemplu: java_update_ .executabil, updateflashplayer_ .executabil).
• Module precum obținerea versiunii sistemului de operare, privilegiul utilizatorului, analiza URL și rutina de descărcare sunt preluate din codul sursă Zbot.
• Variantele pot fi combinate cu alte programe malware (un program de descărcare troian poate distribui mai multe încărcări utile de malware).

Citiți mai multe din linkul de mai jos.

Sursa: Microsoft