Microsoft добавляет семейство троянов Win32/Zemot в средство удаления вредоносных программ

Сегодня Microsoft объявила о добавлении Win32/Земот семья к Средство удаления вредоносных программ. Семейство троянских загрузчиков Win32/Zemot используется такими вредоносными программами, как Win32/Ровникс, Win32/Викноккачества Win32/теч с различными полезными нагрузками. Zemot обычно распространяется через вредоносные программы-спамботы. Win32/Кулуоз и через наборы эксплойтов Magnitude EK и Nuclear EK. Вы можете увидеть цепочку заражения выше.

Мы начали наблюдать активность с Троянский загрузчик:Win32/Upatre.B в конце 2013 года и определили эту угрозу как основного распространителя вредоносного ПО для мошенничества с кликами. PWS:Win32/Zbot.gen!AP и PWS:Win32/Zbot.CF. В мае 2014 года мы переименовали загрузчик в Zemot.

Принимая во внимание как компьютер, так и телеметрию количества файлов, мы можем видеть, что одна копия Zemot часто массово распространяется по URL-адресам полезной нагрузки (URL-адреса загрузки для Win32/Kuluoz и URL-адрес полезной нагрузки для наборов эксплойтов).

Некоторые другие примечательные характеристики семейства Zemot включают:

• Они используют несколько методов, чтобы убедиться, что загруженный модуль будет успешно работать на всех платформах Windows.
• Каждая успешная загрузка сохраняется с уникальным именем файла, позволяющим заразиться несколькими способами.
• Основные варианты различаются форматом статической конфигурации и форматом имени загружаемого файла (например: java_update_ .EXE, обновить flashplayer_ .EXE).
• Такие модули, как получение версии ОС, права пользователя, анализ URL-адресов и процедура загрузки, взяты из исходного кода Zbot.
• Варианты могут быть объединены с другими вредоносными программами (один троян-загрузчик может распространять несколько вредоносных программ).

Подробнее читайте по ссылке ниже.

Источник: Microsoft