Microsoft додає сімейство троянів Win32/Zemot до засобу видалення шкідливого програмного забезпечення

Сьогодні Microsoft оголосила, що додала файл Win32/Zemot сім'ї до Засіб видалення шкідливих програм. Сімейство троянських програм Win32/Zemot використовується такими шкідливими програмами, як Win32/Rovnix, Win32/Вікнок та Win32/Tesch з низкою різного корисного навантаження. Zemot зазвичай поширюється через зловмисне програмне забезпечення-спам Win32/Kuluoz і через комплекти експлойтів Magnitude EK і Nuclear EK. Ви можете побачити ланцюжок зараження вище.

Ми почали спостерігати активність від TrojanDownloader:Win32/Upatre.B наприкінці 2013 року і визначив цю загрозу як основного розповсюджувача зловмисного програмного забезпечення для шахрайства кліків PWS:Win32/Zbot.gen!AP та PWS: Win32/Zbot.CF. У травні 2014 року ми перейменували завантажувач на Zemot.

Беручи до уваги телеметрію як машини, так і підрахунку файлів, ми бачимо, що одна копія Zemot часто масово поширюється на URL-адреси корисного навантаження (URL-адреси для завантаження для Win32/Kuluoz і URL-адреси корисного навантаження для комплектів експлойтів).

Деякі інші примітні характеристики сімейства Zemot включають:

• Вони використовують кілька методів, щоб переконатися, що завантажений модуль буде успішним на всіх платформах Windows.
• Кожне успішне завантаження зберігається з унікальним іменем файлу, щоб уможливити кілька заражень.
• Основні варіанти відрізняються за форматом статичної конфігурації та форматом імені файлу для завантаження (наприклад: java_update_ .exe, updateflashplayer_ .exe).
• Такі модулі, як отримання версії ОС, привілеїв користувача, аналіз URL-адрес і процедура завантаження, взяті з вихідного коду Zbot.
• Варіанти можуть бути в комплекті з іншими шкідливими програмами (один троян-завантажувач може розповсюджувати кілька корисних програм зловмисного програмного забезпечення).

Детальніше читайте за посиланням нижче.

джерело: Microsoft