Microsoft เพิ่มตระกูลโทรจัน Win32/Zemot ให้กับเครื่องมือกำจัดซอฟต์แวร์ที่เป็นอันตราย
2 นาที. อ่าน
เผยแพร่เมื่อ
แชร์บทความนี้
ปรับปรุงคู่มือนี้
อ่านหน้าการเปิดเผยข้อมูลของเราเพื่อดูว่าคุณจะช่วย MSPoweruser รักษาทีมบรรณาธิการได้อย่างไร อ่านเพิ่มเติม
Microsoft ประกาศในวันนี้ว่าพวกเขาได้เพิ่ม Win32/ซีมอท ครอบครัวสู่ ที่เป็นอันตรายเครื่องมือกำจัดซอฟต์แวร์. โปรแกรมดาวน์โหลดโทรจันตระกูล Win32/Zemot ถูกใช้โดยมัลแวร์เช่น Win32/Rovnix, Win32/วิคนอกและ Win32/Tesch ด้วยน้ำหนักบรรทุกที่แตกต่างกันมากมาย Zemot มักจะถูกแจกจ่ายผ่านมัลแวร์สแปมบอท Win32/คูลูออซ และผ่านชุดการใช้ประโยชน์ Magnitude EK และ Nuclear EK คุณสามารถเห็นห่วงโซ่การติดเชื้อด้านบน
เริ่มเห็นกิจกรรมตั้งแต่ TrojanDownloader:Win32/Upatre.B ในช่วงปลายปี 2013 และระบุว่าภัยคุกคามนี้เป็นผู้จัดจำหน่ายหลักของมัลแวร์คลิกหลอกลวง PWS:Win32/Zbot.gen!AP และ PWS:Win32/Zbot.CF. เราเปลี่ยนชื่อตัวดาวน์โหลดเป็น Zemot ในเดือนพฤษภาคม 2014
เมื่อพิจารณาจากทั้งเครื่องและการวัดนับไฟล์ทางไกล เราจะเห็นว่า Zemot สำเนาเดียวมักจะถูกแจกจ่ายจำนวนมากไปยัง payload URLs (URL ดาวน์โหลดสำหรับ Win32/Kuluoz และ URL ของเพย์โหลดสำหรับ Exploit Kits)
ลักษณะเด่นอื่น ๆ ของตระกูล Zemot ได้แก่ :
- พวกเขาใช้เทคนิคหลายอย่างเพื่อให้แน่ใจว่าโมดูลที่ดาวน์โหลดจะประสบความสำเร็จบนแพลตฟอร์ม Windows ทั้งหมด
- การดาวน์โหลดที่สำเร็จแต่ละครั้งจะถูกบันทึกด้วยชื่อไฟล์ที่ไม่ซ้ำกันเพื่อให้สามารถติดไวรัสได้หลายครั้ง
- ตัวแปรหลักแตกต่างกันไปในรูปแบบการกำหนดค่าคงที่และรูปแบบชื่อไฟล์ดาวน์โหลด (เช่น: java_update_ .exe, อัปเดต flashplayer_ .exe).
- โมดูลต่างๆ เช่น การรับเวอร์ชันของระบบปฏิบัติการ สิทธิ์ของผู้ใช้ การแยกวิเคราะห์ URL และรูทีนการดาวน์โหลดนั้นนำมาจากซอร์สโค้ดของ Zbot
- ตัวแปรสามารถรวมเข้ากับมัลแวร์อื่น ๆ ได้ (ตัวดาวน์โหลดโทรจันหนึ่งตัวสามารถแจกจ่ายมัลแวร์ได้หลายเพย์โหลด)
อ่านเพิ่มเติมจากลิงค์ด้านล่าง
ที่มา: ไมโครซอฟท์
