Microsoft додає сімейство троянів Win32/Zemot до засобу видалення шкідливого програмного забезпечення
2 хв. читати
Опубліковано
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Сьогодні Microsoft оголосила, що додала файл Win32/Zemot сім'ї до Засіб видалення шкідливих програм. Сімейство троянських програм Win32/Zemot використовується такими шкідливими програмами, як Win32/Rovnix, Win32/Вікнок та Win32/Tesch з низкою різного корисного навантаження. Zemot зазвичай поширюється через зловмисне програмне забезпечення-спам Win32/Kuluoz і через комплекти експлойтів Magnitude EK і Nuclear EK. Ви можете побачити ланцюжок зараження вище.
Ми почали спостерігати активність від TrojanDownloader:Win32/Upatre.B наприкінці 2013 року і визначив цю загрозу як основного розповсюджувача зловмисного програмного забезпечення для шахрайства кліків PWS:Win32/Zbot.gen!AP та PWS: Win32/Zbot.CF. У травні 2014 року ми перейменували завантажувач на Zemot.
Беручи до уваги телеметрію як машини, так і підрахунку файлів, ми бачимо, що одна копія Zemot часто масово поширюється на URL-адреси корисного навантаження (URL-адреси для завантаження для Win32/Kuluoz і URL-адреси корисного навантаження для комплектів експлойтів).
Деякі інші примітні характеристики сімейства Zemot включають:
- Вони використовують кілька методів, щоб переконатися, що завантажений модуль буде успішним на всіх платформах Windows.
- Кожне успішне завантаження зберігається з унікальним іменем файлу, щоб уможливити кілька заражень.
- Основні варіанти відрізняються за форматом статичної конфігурації та форматом імені файлу для завантаження (наприклад: java_update_ .exe, updateflashplayer_ .exe).
- Такі модулі, як отримання версії ОС, привілеїв користувача, аналіз URL-адрес і процедура завантаження, взяті з вихідного коду Zbot.
- Варіанти можуть бути в комплекті з іншими шкідливими програмами (один троян-завантажувач може розповсюджувати кілька корисних програм зловмисного програмного забезпечення).
Детальніше читайте за посиланням нижче.
джерело: Microsoft