微軟將 Win32/Zemot 木馬家族添加到惡意軟件刪除工具中

微軟今天宣布他們已經添加了 Win32/澤莫特 家人到 惡意軟件刪除工具. Win32/Zemot 系列木馬下載器被惡意軟件使用，例如 Win32/羅夫尼克斯, Win32/維克諾和 Win32/特施 有許多不同的有效載荷。 Zemot 通常通過 spambot 惡意軟件分發 Win32/庫洛茲 並通過漏洞利用工具包 Magnitude EK 和 Nuclear EK。 你可以看到上面的感染鏈。

我們開始看到活動 木馬下載器：Win32/Upatre.B 在 2013 年底，並將此威脅確定為點擊欺詐惡意軟件的主要分發者 PWS:Win32/Zbot.gen!AP 和 PWS:Win32/Zbot.CF. 我們在 2014 年 XNUMX 月將下載器重命名為 Zemot。

通過考慮機器和文件計數遙測，我們可以看到 Zemot 的單個副本通常被大量分發到有效負載 URL（Win32/Kuluoz 的下載 URL 和漏洞利用工具包的有效負載 URL）。

Zemot 系列的其他一些顯著特徵包括：

• 他們使用多種技術來確保下載的模塊在所有 Windows 平台上都能成功。
• 每個成功的下載都使用唯一的文件名保存，以允許多次感染。
• 主要變體的靜態配置格式和下載文件名格式各不相同（例如： java_update_ 。EXE文件, 更新flashplayer_ 。EXE文件).
• 獲取操作系統版本、用戶權限、URL解析和下載例程等模塊均取自Zbot源代碼。
• 變體可以與其他惡意軟件捆綁在一起（一個木馬下載器可以分發多個惡意軟件負載）。

從下面的鏈接閱讀更多內容。

資源： Microsoft微軟