Microsoft thêm dòng Trojan Win32 / Zemot vào công cụ loại bỏ phần mềm độc hại

Microsoft hôm nay đã thông báo rằng họ đã thêm Win32 / Zemot gia đình đến Độc hại Software Removal Tool. Dòng trình tải xuống trojan Win32 / Zemot được sử dụng bởi phần mềm độc hại như Win32 / Rovnix, Win32 / Viknokvà Win32 / Tesch với một số trọng tải khác nhau. Zemot thường được phân phối thông qua phần mềm độc hại spambot Win32 / Kuluoz và thông qua bộ dụng cụ khai thác Độ lớn EK và EK hạt nhân. Bạn có thể thấy chuỗi lây nhiễm ở trên.

Chúng tôi bắt đầu thấy hoạt động từ TrojanDownloader: Win32 / Upatre.B vào cuối năm 2013 và xác định mối đe dọa này là nhà phân phối chính của phần mềm độc hại gian lận nhấp chuột PWS: Win32 / Zbot.gen! AP và PWS: Win32 / Zbot.CF. Chúng tôi đã đổi tên trình tải xuống thành Zemot vào tháng 2014 năm XNUMX.

Bằng cách tính đến cả máy và số lượng tệp đo từ xa, chúng ta có thể thấy rằng một bản sao của Zemot thường được phân phối hàng loạt cho các URL tải trọng (URL tải xuống cho Win32 / Kuluoz và URL tải trọng cho bộ khai thác).

Một số đặc điểm đáng chú ý khác của gia đình Zemot bao gồm:

• Họ sử dụng một số kỹ thuật để đảm bảo rằng mô-đun đã tải xuống sẽ thành công trên tất cả các nền tảng Windows.
• Mỗi lần tải xuống thành công được lưu với một tên tệp duy nhất để tránh nhiễm trùng.
• Các biến thể chính khác nhau về định dạng cấu hình tĩnh và định dạng tên tệp tải xuống (ví dụ: cập nhật Java_ .exe, updateflashplayer_ .exe).
• Các mô-đun như lấy phiên bản hệ điều hành, đặc quyền người dùng, phân tích cú pháp URL và quy trình tải xuống được lấy từ mã nguồn Zbot.
• Các biến thể có thể được đóng gói cùng với phần mềm độc hại khác (một trình tải xuống trojan có thể phân phối nhiều tải phần mềm độc hại).

Đọc thêm từ liên kết bên dưới.

nguồn: microsoft