微軟將 Win32/Zemot 木馬家族添加到惡意軟件刪除工具中
2分鐘讀
發表於
讀者幫助支持 MSpoweruser。如果您透過我們的連結購買,我們可能會獲得佣金。
請閱讀我們的揭露頁面,了解如何幫助 MSPoweruser 維持編輯團隊的發展 阅读更多
微軟今天宣布他們已經添加了 Win32/澤莫特 家人到 惡意軟件刪除工具. Win32/Zemot 系列木馬下載器被惡意軟件使用,例如 Win32/羅夫尼克斯, Win32/維克諾和 Win32/特施 有許多不同的有效載荷。 Zemot 通常通過 spambot 惡意軟件分發 Win32/庫洛茲 並通過漏洞利用工具包 Magnitude EK 和 Nuclear EK。 你可以看到上面的感染鏈。
我們開始看到活動 木馬下載器:Win32/Upatre.B 在 2013 年底,並將此威脅確定為點擊欺詐惡意軟件的主要分發者 PWS:Win32/Zbot.gen!AP 和 PWS:Win32/Zbot.CF. 我們在 2014 年 XNUMX 月將下載器重命名為 Zemot。
通過考慮機器和文件計數遙測,我們可以看到 Zemot 的單個副本通常被大量分發到有效負載 URL(Win32/Kuluoz 的下載 URL 和漏洞利用工具包的有效負載 URL)。
Zemot 系列的其他一些顯著特徵包括:
- 他們使用多種技術來確保下載的模塊在所有 Windows 平台上都能成功。
- 每個成功的下載都使用唯一的文件名保存,以允許多次感染。
- 主要變體的靜態配置格式和下載文件名格式各不相同(例如: java_update_ 。EXE文件, 更新flashplayer_ 。EXE文件).
- 獲取操作系統版本、用戶權限、URL解析和下載例程等模塊均取自Zbot源代碼。
- 變體可以與其他惡意軟件捆綁在一起(一個木馬下載器可以分發多個惡意軟件負載)。
從下面的鏈接閱讀更多內容。
資源: Microsoft微軟